SampleCMS 參數過濾元件說明

在 SampleCMS 系統中不管是前台或後台，從 GET (Request.QueryString) 與 POST (Request.Form) 傳送進系統的參數值皆會經過參數過濾機制的檢查，當系統發現參數值有疑似 XSS (Cross-Site Script) 或 SQL Injection 的指令關鍵字就會立刻終止開啟網頁的要求。

參數過濾機制使用參數過濾元件群來檢查各式各樣的規則，
以下說明參數過濾元件的各項功能以及使用方式，

SampleCMS 附件管理共用元件說明：附件下載共用元件 AttDownloadCommon 使用方式

在 附件管理功能概述 提到了 SampleCMS 附件管理的四項主要功能「儲存（更新）附件資訊與檔案、檢視附件資訊、下載附件檔案、刪除附件檔案」。

上一篇 附件管理共用元件 AttachFileManagerLogic 使用方式 說明附件管理共用元件 AttachFileManagerLogic 在上述功能中「儲存（更新）附件資訊與檔案、檢視附件資訊、刪除附件檔案」負責的工作。

這一篇繼續說明附件下載共用元件 AttDownloadCommon 在「下載附件檔案」負責的工作。

SampleCMS 附件管理共用元件說明：附件管理共用元件 AttachFileManagerLogic 使用方式

上一篇 附件管理功能概述 提到了 SampleCMS 附件管理的四項主要功能「儲存（更新）附件資訊與檔案、檢視附件資訊、下載附件檔案、刪除附件檔案」。

這一篇繼續說明附件管理共用元件 AttachFileManagerLogic 在上述功能中「儲存（更新）附件資訊與檔案、檢視附件資訊、刪除附件檔案」負責的工作。

SampleCMS 附件管理共用元件說明：附件管理功能概述

附件管理主要由「儲存（更新）附件資訊與檔案、檢視附件資訊、下載附件檔案、刪除附件檔案」這四項功能組成。而 SampleCMS 將檔案資訊與實體檔案分別存放在資料庫與磁碟，在實作程式上因此變得比較繁瑣以及需要較為謹慎，需確保檔案資訊與實體檔案皆儲存完成才算成功。

另一方面，其他的附件管理，例如：照片管理，或是在其他專案曾經製作的廣告橫幅管理、商品附件管理。它們在「儲存（更新）附件資訊與檔案、檢視附件資訊、下載附件檔案、刪除附件檔案」這四項功能中的程式流程與這個附件管理是相同的，差別在於可能需要檢查不同的檔案類型、儲存在磁碟的檔名採用不同格式、儲存在磁碟的不同目錄、甚至儲存在資料庫的不同資料表。

而這樣子的差別，不同的類型有著相同的行為但是行為裡的細項動作各自不同，蠻適合使用物件導向來設計共用相同的行為。因此在 SampleCMS 之中，製作了附件管理共用元件 AttachFileManagerLogic 與檔案下載功能的共用元件 AttDownloadCommon。

下列先以循序圖概略描述「儲存（更新）附件資訊與檔案、檢視附件資訊、下載附件檔案、刪除附件檔案」這四項功能，

[備忘錄分享] XSS (2009 年) 測試記錄

在 2009 年，我第一次接觸弱點掃描，看著掃描報告中的 XSS (Cross-Site Script) 跨網站指令碼漏洞描述，很好奇什麼樣的寫法會用來做為 XSS ，同時也想知道我該怎麼防堵 XSS 進而通過弱點掃描。

當時我找到一個格主是 OpenBlue 的部落格，裡面寫了很多 XSS 相關的知識，我覺得是個寶庫（可惜現在這個部落格已經關了）。我在那個部落格中找到一篇叫做「淺析XSS(Cross Site Script)漏洞原理」的文章，照著文章裡的描述開始了我的摸索與測試。

今日再次搜尋「淺析XSS(Cross Site Script)漏洞原理」才知道原文出處在內地，還好這篇文章還看得到，請看 http://safe.it168.com/n/2007-07-04/20070704004201_all.shtml。

以下為當時我所記錄的內容，