这个留言本使用的数据库是access 2003，当然你也可以以sql server 2k来做。程序只有3个文件，default.aspx主要用来展示留言及书写留言，checkcode.aspx是验证码的代码文件，admin.aspx 用来管理留言部分，我写的很简单，就是一个功能，删除。 sql部分，为了避免sql注入的威胁，我使用了oledbparameters来引入参数。现在我把代码贴出来，供那些正在学习c#，有志于学习c#的朋友参考一下，代码如果有什么漏洞，大家可以提出来。总之，就是一个目的，共同学习。 本留言本的在线实例: http://et.bestzhou.org/ 以下代码仅供学习试验,请勿使用于生产环境. default.aspx 文件代码 <%@ page language=”c#” autoeventwireup=”true” codefile=”default.aspx.cs” inherits=”_default” %> <!doctype html public “-//w3c//dtd xhtml 1.0 transitional//en” “http://www.w3.org/tr/xhtml1/dtd/xhtml1-transitional.dtd”> <html xmlns=”http://www.w3.org/1999/xhtml” > <head runat=”server”> <title>atlansing guestbook v1.0 beta</title> <link href=”style.css” rel=”stylesheet” type=”text/css” /> <form id=”form1″ runat=”server”> <div id=”pagediv”> <div id=”msglist” runat=”server”> <asp:gridview id=”gridview1″ autogeneratecolumns=”false” runat=”server” width=”70%” allowpaging=”true” borderstyle=”none” borderwidth=”0px” cellpadding=”0″ showheader=”false” gridlines=”none”> <columns> <asp:templatefield showheader=”false”> <itemtemplate> <div id=”msgdiv”> <div class=”author”><asp:image id=”image1″ runat=”server” imagealign=”absmiddle” imageurl=”~/images/icon_quote.

今天我做了一件错事，将平台的话单下错了，归根结底属于工作疏忽，唉，跟着田姐跑了一早上，把相关部门都跑过来了，结果终于将这件祸事摆平了。在这个单位工作好歹有2年多了，可为什么自己仍然会犯这么低级的错误，我真的很后悔。 不过我觉得话单本身手工干预也是不合适的，是导致出现错误的诱因。唉。出现了错误，没有人会帮你，大家都在看你的笑话，现在的人就这么麻木，这么贱。 这次我的错误也成为了运监的那个女人的口实，以后肯定会拿这说事。我相信。 原本我打算引咎辞职的，连报告都写好了，后来田姐说我们是一个整体，少谁都不行，如果你要走，我也走。朋友也劝我说，犯不上辞职，知错能改就行了，这个时候我多么希望能听到她的鼓励与支持啊。真的。唉。 昨天还是开心的，因为涨薪水了，并且领导给我了一个承诺，可今天就闯祸了，真的大起大落啊。 从现在起，要告诉自己，做事要仔细，象话单做完了一定要核查，不论多么麻烦。如果再出现一次，我真的不能原谅自己，对不起领导对我的栽培。

一 用SqlConnection连接SQL Server 1.加入命名空间 using System.Data.SqlClient; 2.连接数据库 SqlConnection myConnection = new SqlConnection(); myConnection.ConnectionString = "user id=sa;password=sinofindb;initial catalog=test;data source=127.0.0.1;Connect Timeout=30"; myConnection.Open(); 改进（更通用）的方法： string MySqlConnection="user id=sa;password=sinofindb;Database =test;data source=127.0.0.1;Connect Timeout=30"; SqlConnection myConnection = new SqlConnection(MySqlConnection); myConnection.Open(); 二 用OleDbConnection连接 1.加入命名空间 using System.Data.OleDb; 2.连接sql server string MySqlConnection="Provider=SQLOLEDB;Data Source=localhost;Initial Catalog=test;Integrated Security=SSPI;"; SqlConnection myConnection = new SqlConnection(MySqlConnection); myConnection.Open(); 3.连接Access(可通过建立.udl文件获得字符串) string MySqlConnection="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=c:db2000.mdb; Persist Security Info=False; 4.连接Oracle(也可通过OracleConnection连接) string MySqlConnection="Provider=MSDAORA;Data Source=db; user id=sa;password=sinofindb"; 三.创建Command对象 1．SqlCommand 构造函数 ①初始化 SqlCommand 类的新实例。

上周五把我自己写的一个简单的留言本给一个搞开发的朋友看,结果发现了2个严重的bug,一个是登录Bug,一个是Sql注入漏洞. 说实话,在进行写留言本的时候,我根本就不知道SQL注入漏洞是怎么样的，后来朋友给我讲了原理，做了示范，我发现要写出安全的代码真的需要注意很多问题。朋友给我的建议是： 第一条就是使用OleDBParameters,即参数，不要使用拼凑的SQL语句（动态SQL语句），而是使用参数，将变量给参数。 第二条就是控制用户输入，即任何时候不信任用户的输入，这个需要正则表达式来完成。 第三条，过滤HTML文本，即使用HttpUtility.HTMLEncode()或者Server.HTMLEcode() 下面的这些关于参数的代码，可能比较笨拙，但是很管用。因为oledb不像SQL Server那样，SQL SERVER使用命名参数，而OLEDB使用的是定位参数，即需要参数的地方使用‘?’。 下面是我写的一段代码： public static string filename = “~//App_Data//test.mdb”; public static string ConnString = “Provider=Microsoft.Jet.OLEDB.4.0;Data Source=” + HttpContext.Current.Server.MapPath(filename);//定义连接字符串 OleDbConnection conn = new OleDbConnection(ConnString); //实例化一个oledbconnection对象 OleDbDataAdapter oleda = new OleDbDataAdapter();//实例化一个DataAdapter对象 DataSet ds = new DataSet();//实例化一个数据集 string insertSql = ” insert into [test] (name,email,weburl,Content,ip) VALUES (?,?,?,?,?)”;//定义需要执行的sql语句，注意问号 OleDbCommand olecmd = new OleDbCommand(insertSql, conn);//实例化一个oledbcommand对象，以sql语句和conn对象作为参数传递给构造函数 olecmd.Parameters.Add(“@name”, OleDbType.Variant).Value = HttpUtility.HtmlEncode(nameTxt.Text); olecmd.Parameters.Add(“@email”, OleDbType.Variant).Value = HttpUtility.HtmlEncode(emailTxt.Text); olecmd.Parameters.Add(“@weburl”, OleDbType.Variant).Value = HttpUtility.HtmlEncode(weburlTxt.Text); olecmd.Parameters.Add(“@Content”, OleDbType.Variant).Value = HttpUtility.

/// <summary> /// 自动给邮件地址或email地址加上url using System; using System.Text.RegularExpressions; namespace CommLayer { /// <summary> /// 自动给邮件地址或email地址加上url /// </summary> public class HyperlinkUrl { private static Regex urlregex = new Regex(@"(http://([w.]+/?)S*)", RegexOptions.IgnoreCase|RegexOptions.Compiled); private static Regex emailregex = new Regex(@"([a-zA-Z_0-9.-]+@[a-zA-Z_0-9.-]+.w+)", RegexOptions.IgnoreCase|RegexOptions.Compiled); public HyperlinkUrl() { } /// <summary> /// 生成带连接的字符串 /// </summary> /// <param name="link">需要生成带连接地址的字符串</param> /// <returns>经过转换的字符串</returns> public static string GenHyperlinkUrl(string link) { link = emailregex.Replace(link, "<a href=mailto:$1>$1</a>"); link = urlregex.Replace(link, "<a href="$1" target="_blank">$1</a>"); return link; } } }

今天终于让一个做软件开发的朋友看了一下我写的日志程序，结果Bug一大堆，尤其是2个最要命的，一个是SQL注入，另一个是登录的漏洞。唉。代码得再修改修改。 丢人啊！

最近真的是比较烦,事情也比较多啊. 昨天又突然发现自己的网络硬盘,竟然不能访问了,到支持站点看了一下,才发现是有人在网络硬盘里面上传了违法的东西,结果被查封了。害得好多朋友都用不了，没办法，我只能换一个了，现在的网络硬盘用的是g宝盘的，速度不是很理想，麻烦各位朋友在下载的时候，有点耐心哦。呵呵。 自己前些日子写的.net blog顺利完工了，可惜我的站点和单位的服务器都不支持SQL SERVER 2005，我得再改一下，把数据库换成ACCESS的，这样就可以了。弄好了后，大家可以看看，给我提提建议，我好好再修改修改，当然，写得这个东西不可能是一个好东西，毕竟这是我最近学习.net后的成绩单吧。 前2天在日志上加了一个MUSIC模块，主要是可以放放音乐，这样大家在看日志的时候，不至于很索然无味了。呵呵。希望大家喜欢咯。毕竟众口难调，我只能放些我喜欢的了。

预防AIDS的MV。呵呵。

厌倦了传统的email格式，恐惧垃圾邮件的骚扰，渴望个性化的邮件图标 拥有自己的收藏夹图标，个性化自己的订阅图标，制作blog的关联图标 这一切都可以使用以下的工具来实现你的愿望，刷亮你的眼睛，美化你的网站，请跟我来： 1、最全的邮件/QQ/MSN/BLOG图片生成器：http://www.eoool.com/ 支持国内外主要的邮箱，支持BLOG，SNS，IM图标生成，支持blog的相关图标生成。 2、邮箱图标生成器： http://www.nhacks.com/email/ 支持GMail, Hotmail, MSN, Yahoo!, AOL , QQ等图标生成，应该是国外最早提供此服务的网站! 支持png格式，可以直接用URL生成，无须自己上传图片。 http://services.nexodyne.com/email/icon/4pfL6pkZ/%2B9Viqio%3D/UVE%3D/0/image.png http://services.nexodyne.com/email/icon/C6vIZeOoHg%3D%3D/r.S6RKI%3D/R01haWw%3D/0/image.png 3、 Email Signature Generator 支持Gmail/Yahoo/Hotmail/MSN多个邮箱，有三种图片样式供用户选择，而且网站还开放了原代码，您可以下载后，安装到自己的网站中。 http://playtime.uni.cc/downloads/dl.php?mDown=gmail.zip 4、邮箱签名图标 E-Mail Icon Generator： http://pic.xabar.net/generator/email.asp 支持以下邮箱：Hotmail.com , Yahoo.com , Yahoo.com.cn , MSN.com , AOL.com , ATT.com , Bigfoot.com , RocketMail.com , QQ.com , 21cn.com , 21cn.net , 263.net , 263.net.cn , sohu.com , sohu.net , vip.sohu.net , sina.com , sina.cn , vip.sina.com , 163.com , vip.163.com , 126.

又名: Cascading Style Sheets：The Definitive Guide 译者: 许勇 / 齐宁 作者: （美）Eric A. Meyer isbn: 7508305604 页数: 478 定价: 55.00 出版社: 中国电力出版社 出版年: 2001-5-1 简介： 《CSS权威指南》是O’Reilly公司出版的Web制作权威指南系列中的一本。该系列还包括《HTML与XHTML权威指南》、《JavaScript权威指南》和《Dynamic HTML：The Definitive Guide》。 CSS是W3C认可的用于丰富Web页视觉表现力的方法。本书提供了对CSSl和CSS定位的完整的描述，同时也给出了CSS2的概述。本书对CSS的每个属性都做了详细的探究，同时讨论了各个属性之间如何协调、以及怎样避免一些常见错误。 本书的特点在于，它是第一本将CSS与当前浏览器支持结合起来描述的读物，而不仅仅是讲述CSS理论上应该如何工作，因此它为Web创作者和编辑人员高效使用CSS提供了全面的指南。 下载地址：http://bokea.cn/Soft/css权威指南.pdf