大家周日快乐!
我现在给政府做一个信息系统,民众可以发布供求信息,另外一些人可以查找信息。
B/S结构,C#开发;还有手机版,用vbscript写的;数据库:MSSql,手机、电脑共享问题:
1、如何找到在网上发信息的人?(如果民众因为我系统上当受骗,总得有应对的措施吧)
记录发信人的IP地址和发信息的时间,是否可以“找”到他?
大众上网方式有:宽带(代理方式上的),专线,3G无线,这些了吧,尤其象网吧那种,不知道怎么才能准确确认他。
2、如何防止SQL注入攻击?
A、谁有用C#写好的类,分享下,一定是测试过得、实用的。这个觉得比较复杂,微软的技术文章都读了,还是觉得没底。
B、我想禁止用户输入字母,只能输入汉字,这样是不可以绝对避免SQL注入攻击? 攻击者有没有可能将汉字通过编码转化到字母?(当然这个可能的转化要靠SQL的DBMS了吧)请大家帮忙,谢谢了!
我现在给政府做一个信息系统,民众可以发布供求信息,另外一些人可以查找信息。
B/S结构,C#开发;还有手机版,用vbscript写的;数据库:MSSql,手机、电脑共享问题:
1、如何找到在网上发信息的人?(如果民众因为我系统上当受骗,总得有应对的措施吧)
记录发信人的IP地址和发信息的时间,是否可以“找”到他?
大众上网方式有:宽带(代理方式上的),专线,3G无线,这些了吧,尤其象网吧那种,不知道怎么才能准确确认他。
2、如何防止SQL注入攻击?
A、谁有用C#写好的类,分享下,一定是测试过得、实用的。这个觉得比较复杂,微软的技术文章都读了,还是觉得没底。
B、我想禁止用户输入字母,只能输入汉字,这样是不可以绝对避免SQL注入攻击? 攻击者有没有可能将汉字通过编码转化到字母?(当然这个可能的转化要靠SQL的DBMS了吧)请大家帮忙,谢谢了!
http://msdn.microsoft.com/zh-cn/library/ff649310.aspx下面这个文章不错
http://stackoverflow.com/questions/1224049/net-html-whitelisting-anti-xss-cross-site-scripting也是微软的安全工具,相当出色,至于为什么会在id前加x_唯一的原因就是阻止提交值据我测试是可以提交form标签的,但是这个对安全性已经足够用了。4.0和3.1有些差异
http://wpl.codeplex.com/
sql语句用参数,而不是拼接的方式,可以适当禁用 or and drop delete等关键字
只允许用汉字太不符合常理
回答。发布信息让它注册。注册中可以 ,可以实名。 注册填写手机,然后填写短信收的验证码输入注册。然后记录IP,这样避免找不到人。
2 写存储。网上这个多了
B、我想禁止用户输入字母, 这个用正则判断下应该可以吧以上纯属自己的一点想法。