菜刀菜语

SQL注入还是很流行和普遍，随着web程序的风行，甚至有愈演愈烈之势。
关于SQL注入的影响，也是可大可小的，当然不是每个SQL注入的漏洞都能让入侵者拿到系统级别权限，实际上稍做配置，就不太容易了。不过以上我说的几步很简单，简单到所有的脚本小子高中生初中生都会，准确地说，他们比我更擅长和更迅速，有简单而高效的利用工具，甚至他们不需要学习什么是SQL。

然而五六年过去了，这些伎俩都没有过时，可见并非所有的防守方的防范技术都在与时俱进。谈论SQL注入的文章很多，却很少看到有文章全面的从开发者的角度出发，列出实际开发中应该注意的一些防范措施，本文尝试做这么一件事情。关于什么是SQL注入，有很多文章谈过了，就不详谈了。

造成SQL注入的一个很重要的原因是，数据和逻辑的混杂。很常见的做法就是，将用户的输入和SQL语句进行拼接，最终导致了用户的输入变为了SQL语句的一部分。因此，防范SQL注入的一个很重要的原则就是，让数据只是数据，尽量不要使用用户的数据来构造SQL语句。当然，SQL注入如此盛行的另外一个重要原因是，充满想象力的恶意输入。

类似SQL这样的结构化查询语句，都有可能有类似的注入攻击，比如LDAP，甚至XPath。

如何防范SQL注入呢？以下几点可以帮助你。

阅读更多>>

了解观众。 调查一下究竟哪些人在访问您的站点，以及他们为什么要访问。新手或不定期上网的 Web 用户与软件开发商相比有非常不同的兴趣和站点需要。 使站点对访问者来说有所帮助。

为观众提供所需的信息。使导航元素保持一致，并且确保对访问率最高的区域进行明显的标记，是它们易于被找到。

使用清楚的消息
确保用户了解此页面的上下文，并且知道需要他们做些什么。如果在注册过程中您要用户输入姓名，那么就直截了当地说。不要让访问者自己计算什么，他们会感到沮丧，于是转到其它更简单的站点（例如您的竞争对手的站点！）。
保持一致性
虽然更改不同 Web 页的外观并不难，但这并不意味着您应该这么做。将主要功能--例如返回“主页”的链接或者执行一个搜索--放在每页的相同位置。

使站点可用
牢记设计和测试站点的可用性。确保用户可容易地执行任务以获得所需信息。估算任务时间和任务完成率，然后努力进行改善。如果新的设计没有在这些方面获得改善，那么就不要实施它。重新从草图（或最初的计划）开始并尝试其它方法。

保持简洁
说起来容易做起来难。尝试征求反馈意见。 有时新人可以很容易找到解决方案。

尝试新的东西
不要害怕打破常规，尝试一些完全不同的东西。如果不试试，永远不会找到真正的答案。

现在仍然有很多人这么认为，只要网络中使用了一层安全就够了，事实并不是这样，一层根本挡不住病毒和黑客的侵袭。接下来我将逐点介绍网络安全的多点做法。

第一、物理安全

除了要保证要有电脑锁之外，我们更多的要注意防火，要将电线和网络放在比较隐蔽的地方
我们还要准备UPS，以确保网络能够以持续的电压运行，在电子学中，峰值电压是一个非常重要的概念，峰值电压高的时候可以烧坏电器，迫使网络瘫痪，峰值电压最小­的时候，网络根本不能运行。使用UPS可以排除这些意外。另外我们要做好防老鼠咬坏网线。
第二、系统安全（口令安全）

我们要尽量使用大小写字母和数字以及特殊符号混合的密码，但是自己要记住，我也见过很多这样的网管，他的密码设置的的确是复杂也安全，但是经常自己都记不来，每­次都要翻看笔记本。另外我们最好不要使用空口令或者是带有空格的，这样很容易被一些黑客识破。

我们也可以在屏保、重要的应用程序上添加密码，以确保双重安全。

阅读更多>>

项目开始阶段是一个最重要的阶段。项目经理在接手一个新项目的时候，首先要尽可能地多从各个方面了解项目的情况，如：

1. 这个项目是什么项目，具体大概做什么事情，是谁提出来的，目的是解决什么问题。在国内很多客户都很不成熟的情况下，千万不要根据项目的名称望文生义地去想象项目的目标。一个名为“办公自动化”的项目很有可能在你进场以后一个月才发现客户其实需要的是一个计算机生产管理辅助信息系统系统。前期了解情况的工作越详细，后面的惊讶就越少，项目的风险就越小。

2. 这个项目里牵涉哪些方面的人，如投资方、具体业务干系方、项目建成后的运营方、技术监督方等等，
很多项目里除了业主单位的结构很复杂以外，还有一些其他单位也会牵涉进来，如项目监理公司、业主的行业主管机构等。项目经理需要了解每个方面的人对这个项目的看法和期望是什么。事先了解各个方面的看法和期望，可以让你在做项目碰到问题的时候，就每件事情分析哪些人会在什么方面支持你，哪些人会出于什么目的反对你，从而提前准备联合朋友去对抗敌人，让事情向你所希望的方向发展。没有永远的朋友，也没有永远的敌人，只有一致的利益，这句话作为项目经理是一定要记住的；

阅读更多>>

新产品的可行性分析是新产品开发中不可缺少的前期工作，必须在进行充分的技术和市场调查后，对产品的社会需求、市场占有率、技术现状和发展趋势以及资源效益等五个方面进行科学预测及技术经济的分析论证。

(一)调查研究：
1.调查国内市场和重要用户以及国际重点市场同类产品的技术现状和改进要求；
2.以国内同类产品市场占有率高的前三名以及国际名牌产品为对象，调查同类产品的质量、价格、市场及使用情况；
3.广泛收集国内外有关情报和专刊，然后进行可行性分析研究。
(二)可行性分析：
1.论证该类产品的技术发展方向和动向。
2.论证市场动态及发展该产品具备的技术优势。
3.论证发展该产品的资源条件的可行性。(含物资、设备、能源及外购外协件配套等)。

(三)决策：
1.制定产品发展规划：
(1)企业根据国家和地方经济发展的需要、从企业产品发展方向、发展规模，发展水平和技术改造方向、赶超目标以及企业现有条件进行综合调查研究和可行性分析，制定企业产品发展规划。
(2)由研究所提出草拟规划，经厂总师办初步审查，由总工程师组织有关部门人员进行慎密的研究定稿后，报厂长批准，由计划科下达执行。
2.瞄准世界先进水平和赶超目标，为提高产品质量进行新技术、新材料、新工艺、新装备方面的应用研究：
(1)开展产品寿命周期的研究，促进产品的升级换代，预测企业的盈亏和生存，为企业提供产品发展的科学依据；
(2)开展哪些对产品升级换代有决定意义的科学研究、基础件攻关、重大工艺改革、重大专用设备和测试仪器的研究；
(3)开展哪些对提高产品质量有重大影响的新材料研究；
(4)科研规划由研究所提出草拟规划交总师办组织有关部门会审，经总工程师签字报厂长批准后，由计划科综合下达。