文章来源：PHPBuilder.com原作者：LuisArgerich翻译：erquanerquan注：本人现还未来得及体验PHP5，只是翻译一篇老外的文章。以下均由erquan翻译，第1次作这些的事情希望没有误导大家。有些不准的地方请谅解。大家看这样的行不行，如果行的话，偶就翻译完，不行就翻译了，免得误导了大家，也累哦。。。。:)转贴时请注明文章来源，谢谢：）PHP5的正式版还没发布，但我们可以学习、体验下开发版给我们带来的PHP新特性。本文将集中介绍以下3大PHP5新功能：*新对象模式*结构化异常处理*名称空间在正式开始之前，请注意：*文章中的部分例子用PHP4的方...

   随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQLInjection，即SQL注入。　　SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。　　...

   在入门篇，我们学会了SQL注入的判断方法，但真正要拿到网站的保密内容，是远远不够的。接下来，我们就继续学习如何从数据库中获取想要获得的内容，首先，我们先看看SQL注入的一般步骤：　　第一节、SQL注入的一般步骤　　首先，判断环境，寻找注入点，判断数据库类型，这在入门篇已经讲过了。　　其次，根据注入参数类型，在脑海中重构SQL语句的原貌，按参数类型主要分为下面三种：　　(A)ID=49这类注入的参数是数字型，SQL语句原貌大致如下：　　Select*from表名where字段=49　　注入的参数为ID=49And[查询条件]，即是生成语句：　　Select*f...

   看完入门篇和进阶篇后，稍加练习，破解一般的网站是没问题了。但如果碰到表名列名猜不到，或程序作者过滤了一些特殊字符，怎么提高注入的成功率？怎么样提高猜解效率？请大家接着往下看高级篇。　　第一节、利用系统表注入SQLServer数据库　　SQLServer是一个功能强大的数据库系统，与操作系统也有紧密的联系，这给开发者带来了很大的方便，但另一方面，也为注入者提供了一个跳板，我们先来看看几个具体的例子：　　①http://Site/url.asp?id=1;execmaster..xp_cmdshell“netusernamepassword/add”--　　分号...

ASP开发中存储过程应用全接触        ASP与存储过程(Stored Procedures)的文章不少，但是我怀疑作者们是否真正实践过。我在初学时查阅过大量相关资料，发现其中提供的很多方法实际操作起来并不是那么回事。对于简单的应用，这些资料也许是有帮助的，但仅限于此，因为它们根本就是千篇一律，互相抄袭，稍微复杂点的应用，就全都语焉不详了。  　　现在，我基本上通过调用存储过程访问SQL Server，以下的文字都是实践的总结，希望对大家能有帮助。  ...