数据库被恶意注入代码是非常致命的问题,主要的手段有:利用程序漏洞,用一段程序就可以测试出来,主要体现在前台提交的一些表单上没有对非法字符进行过滤!那么我们如何防止注入呢?(这里只针对asp+MSSQL)
首先就是在程序中加上防止注入的过滤函数:
检测非字符
SQL_injdata = "|exec|insert|||delete|set | || | |char | || ||mid( |asc( ||cast|declare|exec|varchar|
放入conn.asp中(拒绝攻击 万能Asp防注入代码)
放入conn.asp中(拒绝攻击 万能Asp防注入代码)
第一种:
squery=lcase(Request.ServerVariables("QUERY_STRING"))
sURL=lcase(Request.ServerVariables("HTTP_HOST"))
SQL_injdata =":|;|>|< |--|sp_|xp_||dir|cmd|^|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
For SQL_Data=0 To Ubound(SQL_inj)
if instr(squery&sURL,Sql_Inj(Sql_DATA))>0 Then
Response.Write "SQL防注入系统"
Response.end
end if
next
第二种:
SQL_injdata =":|;|>|< |--|sp_|xp_||dir|cmd|^|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" SQL_inj = split(SQL_Injdata,"|") If Request.QueryString<>"" Then For Each SQL_Get In Request.QueryString For SQL_Data=0 To Ubound(SQL_inj) if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then Response.Write "SQL通用防注入系统" Response.end end if next Next End If If Request.Form<>"" Then For Each Sql_Post In Request.Form For SQL_Data=0 To Ubound(SQL_inj) if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then Response.Write "SQL通用防注入系统" Response.end end if next next end if
一般这种问题是网站有漏洞,系统漏洞或者SQL注入漏洞,或者上传文件漏洞,我也深受其苦,然而,如何防止网页被修改加入脚本病毒? 现将这个问题总结分享一下.
1、简单的补救措施:在服务器IIS中,把所有的ASP,HTML文件的属性设置为Everyone只读(一般是IUSR_),只把数据库的权限设置成可写, 注意:如果你没有服务器的管理权限,那么登录上的空间ftp,选中那些不需要写入的文件或文件夹,右键点击-属性:把其中的三组写入权限都取消,但如果你有ACCESS数据库,要把数据库设成可写,不然读数据时会出错。
2、先把恶意代码删掉(替换掉),然后把网站目录下的所有文件全部用杀软杀下 ,然后一个一个检查下是否存在后门.
3、在你的程序里写上以下防注入函数
on error resume next '这行代码放到conn.asp的第一行。
'防止注入
dim qs,errc,iii
qs=request.servervariables("query_string")
'response.write(qs)
dim deStr(18)
deStr(0)="net user"
deStr(1)="xp_cmdshell"
deStr(2)="/add"
deStr(3)="exec%20master.dbo.xp_cmdshell"
deStr(4)="net localgroup administrators"
deStr(5)="select"
deStr(6)="count"
deStr(7)="asc"
deStr(8)="char"
deStr(9)="mid"
deStr(10)="'"
deStr(11)=":"
deStr(12)=""""
deStr(13)="insert"
deStr(14)="delete"
deStr(15)="drop"
deStr(16)="truncate"
deStr(17)="from"
deStr(18)="%"
errc=false
for iii= 0 to ubound(deStr)
if instr(qs,deStr(iii))<>0 then
errc=true
end if
next
if errc then
Response.Write("对不起,非法URL地址请求!")
response.end
end if
4、在文件中
加入====================== 以下为摘录======================
网页防篡改
一,Stream开关可自由设置,ASP中的ADODB.Stream 对象用来操作二进制或文本数据的流。通常用于无组件上传和验证码等功能。关闭该组件可以提高网站安全。 Fso开关也可自由设置,FSO(FileSystemObject)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。关闭该组件有利于提高网站安全。
二,假设网站建好后,今后一段时间都不会再用到ftp上传功能,这时可以暂时关闭FTP上传,有助于提高网站的安全,即使ftp密码泄露,黑客也不能操作空间内的文件,设置后60秒后生效。
三,另外还可设置脚本权限与写入权限,如果网站只使用了asp,可设置为只开放asp权限。这样黑客即使上传了php的木马到空间也不能运行,最少的权限=最大的安全。写入权限设置则系统支持全国领先的目录权限设置,允许关闭网站的写入权限,锁定虚拟主机。对安全有重要意义,例如可以将access数据库放在databases目录,而将wwwroot目录的写入权限关闭,令asp木马根本无法上传,这样比关闭FSO更安全。
切勿删除或更改IX目录下的cgi-bin目录
网上有使用IXwebhosting主机的朋友反应说主机内的需要zend的PHP程序全部失灵,部分PHP脚本无法运行。导致网站无法使用,极其严重。
经过跟客户的沟通,并与IXwebhosting官方取得联系,最后证实是客户删除了网站本目录的cgi-bin导致的问题。
IXwebhosting的主机系统中,cgi-bin占据了很重要的位置,区别于以往的Cpanel主机,传统的cPanel主机中cgi-bin目录是为了CGI脚本程序设置,但是IX开发的系统里,cgi-bin放了很多用户主机信息,包括Zend升级信息,PHP.ini信息等等。一旦删除,必然导致很多功能和程序无法正常读取和使用。
所以请大家一定要慎重,切记不要删除!否则给大家带来的不便是无可言喻的!
另外值得注意的是,根目录有的时候IX内置了.htaccess文件,也不要删除,这个文件设置了配置文件的路径,有的时候需要他来引导PHP.ini位置等信息。
本文来源网络,内容仅作参考。
深圳市医疗保险三种形式的比较
深圳市社会医疗保险有三种形式:主要是综合医疗保险、 住院医疗保险、 农民工医疗保险。那具体这三种形式的医保有什么待遇?在门诊、住院报销等方面有哪些差别?本文将做详细对比:
|
比较项目 |
综合医疗保险 |
住院医疗保险 |
农民工医疗保险 |
|||||
|
一、 基 本 医 疗 保 险 待 遇 |
门 诊 待 遇 |
1 、普通门诊 | 药品 | 个人账户支付;但综合医保参保人在本市定点社康发生的符合医保药品目录的门诊药品费用,70%由个人账户支付,30%分别列入大病统筹基金记账范围和由地方补充医保基金支付 | 在绑定社康就医,由社区门诊统筹基金按甲类 80 %、乙类 60 %支付 | |||
|
诊疗、材料 |
个人账户支付 | 在绑定社康就医,由社区门诊统筹基金按单项价格 120 元以下支付 90 %,单项价格 120 元以上支付 120 元 | ||||||
|
年度最高限额 |
—— | 800 元 | 无 | |||||
| 2 、门诊特检 | 80%列入基本医疗保险大病统筹基金记账范围 | 同“普通门诊” | ||||||
| 3 、门诊大病 | I 类 | 先由个人账户支付;个人账户不足支付且医保年度内费用超过市上年度在岗职工平均工资5%以上的,70%列入大病统筹基金记账范围 | ||||||
| II 类 | 基本医疗费用的90%列入基本医疗保险大病统筹基金记账范围 | |||||||
| 4 、门诊输血 | 90%列入大病统筹基金记帐范围 | 70%列入大病统筹基金记帐范围 | ||||||
| 5 、门诊急诊 / 结算医院转诊 | 同“普通门诊” | “普通门诊”规定的 90 % | ||||||
|
住 院 待 遇 |
1 、药品、诊疗、材料 | 退休 95 %,其他 90 %,列入基本医疗保险大病统筹基金记账范围 | ||||||
| 2 、住院特材 | 国产普及型价格90%;进口普及型价格60%,列入大病统筹基金记帐范围 | |||||||
| 3 、床位费 | 不超过 50 元 / 日 | 不超过 35 元 / 日 | ||||||
| 4 、起付线 | 市内一级及以下医院为100元,市内二级医院为200元,市内三级医院为300元,非本市医院为400元 | |||||||
| 5 、大病统筹基金支付比例 | 综合医疗保险、住院医疗保险参保人住院发生的列入基本医疗保险记账范围的医疗费用,在住院起付线以上、统筹基金最高支付限额以下的部分,由基本医疗保险大病统筹基金全额支付。 | 市内一级医院、二级医院、三级医院、市外医院支付比例分别为95%、90%、80%、70% | ||||||
| 6 、非结算医院住院急诊抢救 | 同“普通住院” | “普通住院”规定的 90 %支付 | ||||||
| 大病统筹基金最高支付限额 | 连续参保时间不满半年的、满半年不满1年的、满1年不满2年的、满2年不满3年的、满3年以上的,最高支付限额分别为本市上年度在岗职工平均工资的0.5倍、1倍、2倍、3倍、4倍 | |||||||
|
转诊 |
1 、转诊手续 | 门诊转诊 | 市内无需转诊,市外需办理转诊手续 | 由绑定社康逐级转诊 | ||||
| 住院转诊 | 市内无需转诊,市外需办理转诊手续 | 由结算医院逐级转诊 | ||||||
| 2 、未办转诊手续 | 在市外定点医院住院的,报销比例降低20个百分点;在国内非定点医院住院的,报销比例降低40个百分点 | |||||||
|
比较项目 |
综合医疗保险 |
住院医疗保险 |
农民工医疗保险 |
|||||
|
二、地 方补充医疗保险待遇 |
门诊 待遇 |
1 、普通门诊(地补药品、诊疗、材料) | 个人账户支付 | 无 | 无 | |||
| 2 、门诊大病 II 类 | 地方补充医疗费用由地方补充医疗保险基金按80%支付 | 无 | ||||||
| 住院待遇 | 在住院期间使用地方补充医疗保险药品目录规定的药品和地方补充医疗保险诊疗项目的费用,由地方补充医疗保险基金支付年度最高支付限额内的90% | 无 | ||||||
| 超基本医保基金限额 | 列入基本医疗保险统筹基金记账范围并且超过基本医疗保险统筹基金最高支付限额的费用,由地方补充医疗保险基金支付年度最高支付限额内的90% | 无 | ||||||
| 地方补充医疗保险基金最高支付限额 | 连续参保时间满半年不满1年的、满1年不满2年的、满2年不满3年的、满3年不满6年的,最高支付限额分别为5万元、10万元、15万元、20万元,连续参保6年以上的不设最高支付限额 | 无 | ||||||
| 三、生育医疗保险待遇 | 综合医疗保险未达法定退休年龄的人员享受 | 无 | 无 | |||||
| 四、预防保健待遇 | 1 、体检、接种、少儿门诊 | 个人账户积累额达到1个月市上年度在岗职工月平均工资的,其超过部分可用于支付健康体检、预防接种费用和其已参加少年儿童住院及大病门诊医疗保险的子女的门诊医疗费用 | 无 | 无 | ||||
| 2 、退休补助 | 综合医保退休人员可享受一次性的地方补充医疗保险退休补助500元,并按月享受地方补充医疗保险补助20元,由市社会保险机构从地方补充医疗保险基金中列支并划入其个人账户,可用于本人的健康体检。 | 无 | 无 | |||||
注:1、门诊大病第I类包括:高血压病(Ⅱ期及Ⅲ期)、冠心病、慢性心功能不全、肝硬化(失代偿期)、慢性病毒性肝炎(乙型、丙型,活动期)、中度及中度以上慢性阻塞性肺疾病、类风湿关节炎、系统性红斑狼疮、糖尿病、珠蛋白生成障碍(地中海贫血或海洋性贫血)、再生障碍性贫血、血友病、帕金森病、精神分裂症。第II类包括:慢性肾功能不全(尿毒症期)门诊透析、器官移植术后(抗排异反应治疗)、恶性肿瘤门诊化疗、放疗、核素治疗。
2、住院特材:指基本医疗保险诊疗目录内的特殊医用材料、人工器官、单价在1000元以上的一次性医用材料。
3、2010年度在岗职工平均工资为4205元/月。
dede前台可以正常访问,后台登录空白的解决办法
通常这种情况是属于主机问题.通过修改dede代码可以解决.
问题原因:
session_register,php5.4移除了这个函数,版本里说明,继续使用该函数会产生错误。
if (!isset($_SESSION[$this->keepUserTypeTag]))改成这个方式就可以了
解决方法:
找include/userlogin.class.php里面的keepuser()函数,
把@session_register 全部改写, 虽然不知道这个@是什么意思
把@session_register($this->keepUserIDTag); 注释掉,然后改为
if (!isset($_SESSION[$this->keepUserIDTag]))
全部有6个。
如下:
if (!isset($_SESSION[$this->keepUserIDTag])) //@session_register($this->keepUserIDTag); $_SESSION[$this->keepUserIDTag] = $this->userID; if (!isset($_SESSION[$this->keepUserTypeTag])) //@session_register($this->keepUserTypeTag); $_SESSION[$this->keepUserTypeTag] = $this->userType; if (!isset($_SESSION[$this->keepUserChannelTag])) //@session_register($this->keepUserChannelTag); $_SESSION[$this->keepUserChannelTag] = $this->userChannel; if (!isset($_SESSION[$this->keepUserNameTag])) //@session_register($this->keepUserNameTag); $_SESSION[$this->keepUserNameTag] = $this->userName; if (!isset($_SESSION[$this->keepUserPurviewTag])) //@session_register($this->keepUserPurviewTag); $_SESSION[$this->keepUserPurviewTag] = $this->userPurview; if (!isset($_SESSION[$this->keepAdminStyleTag])) //@session_register($this->keepAdminStyleTag); $_SESSION[$this->keepAdminStyleTag] = $adminstyle;
然后就可以登入后台了。
Responsive Fullscreen Studio 2.8 汉化版 for WordPress
声明:Responsive Fullscreen Studio全屏幕主题 汉化仅用作学习交流,请下载后24小时内删除,如您喜欢请支持原版。
备注:有时间会续写使用教程。
如急需设置,影子可提供一对一付费支持(50元/小时 或300元/10次
下载地址:http://pan.baidu.com/s/1uytH0 (百度网盘
==============翻译的说明==================
英文版演示:http://www.imaginemthemes.com/themes/?theme=RSW
WORDPRESS的响应全屏工作室
RSW(WordPress的响应全屏工作室)是一个强大的主题为摄影师和创意的艺术家,并配备了光明和黑暗主题选项支持多色定制的主题元素,使用颜色选取器。创意的艺术家可以很容易地使用无限的组合和后期格式,除了支持,报价,音频,视频,链接,图像和画廊展示自己的产品。使用400 +的Google Web字体选择主题选项,可以改变字体。
RSW响应瞬间自动调整功能根据设备分辨率的网站。
与音频特征全屏幻灯片。视频全屏播放来回或是Vimeo,闪存,Youtube和HTML5视频。
首页新闻博客以及与幻灯片。
派送切换清除等元素,为最佳观赏全屏幻灯片。
组合包括一个Horiztontal幻灯片滚动字幕支持,以及Galleria幻灯片,背景图像上,重点视图切换都放在。
透明的全屏幻灯片简和缩略图画廊的模板,可以很好地显示。组合目前此模板生成幻灯片。
帖子格式(除了报价,音频,视频,链接,图片,图库)
自定义部件(地址,社会的图标,flickr的,画廊,叽叽喳喳,最近的帖子,热门的职位,相关的投资组合,投资组合的工作利斯特)
国际化(本地化语言。包括PO。mo文件)
特点
- 光明与黑暗的主题
- 全屏图像幻灯片
- 有/无背景音频播放的全屏图像幻灯片
- 全屏图像带/不带背景音乐播放的幻灯片和标题
- 全屏视频
- 全屏的Youtube
- FLV flash视频全屏
- 全屏或是Vimeo视频
- 全屏HTML5视频
- 全屏幻灯片/视频使用自定义文章类型。
- 密码保护派送,公文包和页数
- 切换全屏观点。
- 填充菜单社会使用的Widget图标链接。(易来填充)
- 帖子格式(除了报价,音频,视频,链接,图片,图库)
- 无限的投资组合
- 组合支持4,3和2列展示电网投资组合头的图像,幻灯片和视频。
- 推进主题选项
- 使用主题选项更改颜色主题
- 400 +谷歌网页字体的选择
- 多个侧边栏。
- 验证表单模板和工作邮件联系。
- 自定义部件(地址,社会的图标,flickr的,画廊,叽叽喳喳,最近的帖子,热门的职位,相关的投资组合,投资组合的工作利斯特)
- 许多有用的简码,简码发生器内置(无需记住简)
- 国际化(本地化语言。包括PO。mo文件)
- 详细的截图和解释,帮助指南PDF
- XML演示数据文件(确保容易建立网站使用演示数据)
- 包括月台幕门
DedeCMS顽固木马后门专杀工具 V 2.0 [版本更新:20130928 ]
DedeCMS顽固木马后门专杀工具 V 2.0 [版本更新:20130928 ]
转载来源:http://bbs.anquan.org/forum.php?mod=viewthread&tid=11504
“DedeCMS顽固木马后门专杀工具”为安全联盟站长平台针对DedeCMS爆发的90sec.php等顽固木马后门而定制的专杀工具。在前面我们推出的第一个版本里收到了很多DedeCMS站长的肯定。于是我们决定推出版本升级。于是“DedeCMS顽固木马后门专杀工具 V2.0”诞生了。
v2.0 介绍
与第一个版本一样,我们继续围绕“一切为加强DedeCMS安全而生!”的中心去开发。
主要有如下特点:
1.扫瞄并修补漏洞,从安全设置上加强DedeCMS自身的安全防御(根本上解决90sec.php等顽固木马的“病因”)
2.清扫数据库(根本上解决90sec.php等顽固木马“复发”问题)
3.查杀多种网站木马后门及恶意DDos脚本(解决90sec.php等顽固木马基本“症状”)
下载地址:
http://tool.scanv.com/dede_killer_v2.zip
http://zhanzhang.anquan.org/static/download/dede_killer.zip
使用教程
1、下载文件到本地,解压后用“编辑器”(可直接用window系统'记事本'打开)打开dede_killer_v2.php 修改密码(默认密码不让登陆!),如果你的dedecms设置了data目录,请对应修改后保存。如下图:
2、用ftp等管理软件,把修改后的dede_killer_v2.php 上传到网站(dedecms安装的)跟目录下。用浏览器访问打开。(这里我们建议使用谷歌浏览器chrome或者火狐浏览器firefox访问)地址为:http://你的网站地址/dede_killer_v2.php 如下图:
3、输入密码后,点击登陆。可以看到功能选项 开始专杀之旅了!!
Dede安全扫瞄:
快速木马查杀:
高级木马查杀配置
最后演示下怎么通过“高级木马查杀”查找黑链页面。 高级搜索提供了自定义关键词、文件后缀,还支持正则表达式。对于一般站长来说,正则编写可能有难度,我们就使用下关键词扫瞄。在一次修补过程里我们发现黑客挂的页面都有dede.js
我们扫瞄一下 如下图:
结果如下:
Godaddy org域名续费优惠码
Godaddy org域名续费优惠码 2013年11月05日测试有效。
有效期未知。
优惠价8.99美元
[drpcoupon name="PHD7"]
JTBC友情链接JS生成的使用方法
JTBC自带的友情链接,在后台添加后,前台不显示。
这是要经过几步设置才能成功的。
1.首先进入后台=》公共管理=》文字链接
习惯的,我们一般都会先写入代码,然后再添加友情链接的信息内容。
2.于是我们就在JS名称中填写:link1,显示列数:10,模板选择:1,
之后点提交,这样就自动生成了,我们也没看到什么,其实上面有句话:生成的JS路径(common/js/),鼠标指上去点击链接,居然打开了文件路径:supportlinktextcommonjs,而且有了文件名为link1.js了,哈哈,说明生成成功了。要是没有生成成功或提交时有错误提示,则说明你的网站没有写入权限,那就要上FTP自己对文件夹进行权限开放可写状态了。
3.然后我们知道了文件的路径后,返回到系统管理=》模板管理
如果友情链接只想放在首页的话,那么就放在首页模板中,适当的位置添加
如果友情链接想放在所有的页面,那么就放在头尾模板的default_foot节点中,适当的位置添加
4.这样首页的JS调用代码已经完成了,可是现在去添加网址后,刷新网页和删除缓存居然没反应。
注意:请先添加友情链接,打开后台=》公共管理=》文字链接, 如果之前生成过,请再重新覆盖写入link1,列数10,模板1再次提交。
这样再删除缓存,刷新前台。友情链接就会显示出来了,就是排版不对,看样模板还要改改。
参考资料:http://www.jtbc.cn/forum/detail-18551.html
301重定向怎么进行URL标准化设置?
经常会碰到这样的情况,其他网站链接你的站点时,会用下面的链接:
www.example.com
example.com/
www.example.com/index.html
example.com/index.php
而这样导致:你站点主域名的pr值分散到其他几个URLs了。
如果你用301重定向把其他三个URL转到
www.example.com
PR也就集中在主域名:www.example.com 了。
301重定向具体办法:
设置.htaccess文件(只适用于linux系统,并需要虚拟主机支持。)
使访问example.com/的时候就会自动转到www.example.com
在.htaccess文件里写上以下代码即可。
RewriteEngine on
RewriteCond %{http_host} ^mydomain.com [NC]
RewriteRule ^(.*)$ http://www.mydomain.com/$1 [L,R=301]
注意:URL标准化的301重定向(以上代码)需要写在其他URL-rewrite代码之前。
作者:夫唯
来源:http://faq.seowhy.com/24_24_zh.html