1.不转意html entities   一个基本的常识：所有不可信任的输入（特别是用户从form中提交的数据） ，输出之前都要转意。echo $_GET['usename'] ;这个例子有可能输出：<script>/*更改admin密码的脚本或设置cookie的脚本*/</script>这是一个明显的安全隐患，除非你保证你的用户都正确的输入。如何修复 ：我们需要将"< ",">","and" 等转换成正确的HTML表示(< , &g...

远程访问机器的注册表通常是令人皱眉的事情；毕竟，您想让其他人在您不知道的情况下查看您的注册表吗？但是，如果正确处理的话，这个过程可以成为抽取机器信息和识别您网络中潜在漏洞的强大工具。在这里，Brian运用他在WebSphereBusinessIntegratorTeam中的工作经验，描述了远程注册表访问如何允许您从多台机器中抽取信息—并且识别那些易受攻击的系统。本文还包括了代码样本。在一个软件开发测试环境中，跟踪机器被证明是非常困难的，尤其是当机器的数量达到两位数的时候。在哪台机器上使用了什么软件？使用的NT是什么版本？服务包（servicepack）的级别是什么？安装...