更新了我的BLOG程序

这两天,在blog访问记录里发现来自以下面两组关键字通过GOOGLE、BAIDU搜索BLOG漏洞的人挺多的,我还不知道我的BLOG有没有受害,我不管三七二十一,先把BLOG更新为SIC提供的最新blog版本0xF0。漏洞是什么我也不清楚,SIC也没有在版本更新说明中明说.
关键字1:  

attachment.asp?action=upload

关键字2:  

blogview.asp?logID=

  
  下载最新的blog版本oxf0,发现sic没有在common.asp加入防“暴库”(暴露数据库路径)的语句,建议其它BLOG用户把common.asp中的

Conn.Open

  改为

$nbsp$$nbsp$On Error Resume Next
$nbsp$$nbsp$Conn.Open
$nbsp$$nbsp$If Err Then
$nbsp$$nbsp$$nbsp$$nbsp$err.Clear
$nbsp$$nbsp$$nbsp$$nbsp$Set Conn = Nothing
$nbsp$$nbsp$$nbsp$$nbsp$Response.Write "数据库找不到!这是数据库访问出错提示信息。你可以改成广告词。"
$nbsp$$nbsp$$nbsp$$nbsp$Response.End
$nbsp$$nbsp$End If

  这样就可以避免数据库正在更新时恰好有人访问blog造成数据库路径泄露而被别人下载。
  另外,我发现自己不够细心,SIC在BLOG改进计划项目中早已计划:

– Blogger API 支持
– 转为 XHTML
– 模板支持
– 语言包

  轶侠已经实现XHTML了,语言包似乎也完成了,至于blogger API就是blogger的应用程序接口,若SIC把BLOG完善成支持API,人们就可以利用一个专用的编辑器程序在自己电脑上写好文章,然后按“BLOG IT”就可以发布到自己的blog网站上了。这样就不必非得用浏览器编辑BLOG内容不可了。
  对于这个blog,用TABLE还是用DIV定位,智者见智,各说不一。SIC也在选择div还是选择TABLE之间犹豫。对我个人而言,我是支持div定位,毕竟多数用户受带宽限制比较大,要等整个页面全部下载下来才能看到页面内容确实浪费了一部分人的时间和上网的金钱,这样浪费资源不符合环保的要求 [smile] .所以嘛,在这个问题上,我的态度还是跟上次utf-8和GB2312之争一样,既然div是大势所趋,就用div定位好了。
  由于SIC不明说这次升级改动了哪些地方,我又懒得用beyond compare来检查更新,反正我自己已经非常熟悉这个BLOG程序的界面了,这次就懒得汉化界面和添加功能了,凑和着用吧。

8 thoughts on “更新了我的BLOG程序”

  1. xiaoun提供的防暴库办法也很好.
    多数虚拟主机提供商的主机的目录结构是


    ├─database

    ├─logfiles

    └─www
    其中只是www目录是可以用http方式浏览和下载的,如果把数据库放在www的同级目录中,就无法被别人下载了.

  2. 引用自 zola
    其中只是www目录是可以用http方式浏览和下载的,如果把数据库放在www的同级目录中,就无法被别人下载了.

    [wink] N年前已经这样做了,呵呵.
    [smile]

  3. 引用自
    SIC同志:请教一个问题,我用的是你的最新版本的LBS-0xF0,我在改变版式时发现一个问题,我将SIDEBAR内容放在wrapper和MAINBOX后面,即<!–#include file="footer.asp" –>的前面,运行default.asp页面基本正常,只是发现在点击日历中的日期查询某日或某月所发的日志,得出的结果是
    No Entry
    我将<!–#include file="sidebar.asp"–>重放回wrapper之前,即在<!–#include file="header.asp" –>之后,这时查询某日的日志就可以得到正常的输出.
    请问:是不是在SIDEBAR中预先声明了某个变量?能否将此变量在<!–#include file="header.asp" –>中声明?
    例: http://www.zuola.com/weblog/default.asp?viewType=byDay&log_Year=2004&log_Month=11&log_Day=10

    几年前在用猪猪的BLOG就出现过这问题了。。。

    不妨将日历的Sub外的 Dim 全放到 Sub 里面。。。。。。。。。

    本来在sic那边回复的,但错误了。。。GOODLUCk。。。

  4. 谢谢AFLY同学的热心帮助.[smile]
    SIC告诉我是 sidebar 里面定义了:
    Dim log_Year,log_Month,log_Day
    我先尝试着改一下.
    改法如下:
    将SIDEBAR.ASP中的这段内容剪切到COMMON.ASP中.

    $nbsp$$nbsp$<%
    $nbsp$$nbsp$Dim log_Year,log_Month,log_Day
    $nbsp$$nbsp$log_Year=CheckStr(Trim(Request.QueryString("log_Year")))
    $nbsp$$nbsp$log_Month=CheckStr(Trim(Request.QueryString("log_Month")))
    $nbsp$$nbsp$log_Day=CheckStr(Trim(Request.QueryString("log_Day")))
    $nbsp$$nbsp$If Not IsInteger(log_Year) Then log_Year=""
    $nbsp$$nbsp$If Not IsInteger(log_Month) Then log_Month=""
    $nbsp$$nbsp$If Not IsInteger(log_Day) Then log_Day=""
    $nbsp$$nbsp$%>

    以下内容还是要留在SIDEBAR.ASP中的原处.

    <%
    Calendar log_Year,log_Month,log_Day
    %>

    好了,我就是这样解决这个问题的.
    BTW:afly同学的BLOG在哪?能交个朋友吗?

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据