当前位置: 代码迷 >> .NET面试 >> (续3)女程序员Miss,今天又面试咯,气愤总结!该如何处理
  详细解决方案

(续3)女程序员Miss,今天又面试咯,气愤总结!该如何处理

热度:174   发布时间:2016-05-04 23:07:25.0
(续3)女程序员Miss,今天又面试咯,气愤总结!
今天又去面试了,经过昨天的面试我已经有了越挫越勇的感觉,听老师说这家公司对‘北大青鸟’已经极度厌恶,叫我有心理准备,我是这样想的:老师给找个面试单位也不容易,一定要去的,其实昨晚胃痛一整个晚上没有睡好觉,但是也大早起的就起来去了。

  第一:留下的地址是北京电视台地址,等我到了打电话给他们居然是离这里还有两条街那么远。
  第二:他看了一下我的项目(有链接地址的),问出的问题一一解答,例如:某些功能是怎么实现的?几个人开发,我主要负责什么?问我用什么编辑器编辑信息?忽然问我要管理员密码 = =!? 这个问题不用说,大家肯定都不会给的,况且可能已经改了。
  第三:我说可以给他详细的讲解一下我做的个个项目以及功能和所用到的技术,他回我‘北大青鸟的学生以前来过我们这边,素质都很差,拿着别人的项目说是自己做的,问什么都不知道(貌似在影射我没有给他管理员密码 = =!)’然后用了很多词语描述了‘北大青鸟’学的差劲程度和素质低下等。我面对他如此偏激的语言,面带的微笑的看着他,然后他告诉我星期一在联系吧,叫我回去等消息。

  出来之后,我一直在后悔一件事,把简历要回来好了,白瞎我1块5毛钱打印简历钱,我就纳闷了,既然他那么讨厌青鸟的学生,为什么又打电话到学校要人去面试呢?很不解很不解。

  还有一件事,是我找工作以来的总结,那就是 : 找北大青鸟学生去工作的,全部是想要廉价员工 - -!

  被问的技术问题有一道: SEO包括什么? 第二次接触了!

  令附上一题:我们通常总是说防止SQL注入,可是怎么SQL注入呢?要学SQL注入,反向思维学习,知道怎么注入,才能更好的知道怎么防止。

------解决方案--------------------
在ASP时代 程序员可能偷懒 
在SQL 语句中 没有吧单引号过滤掉
比如说查询用户

正常用户名是不带'号的
username 是传进来的参数
select * from [tb_user] where [id]= 'username'

username 如果是 a 可以正常执行

如果 username 是 a'就会导致SQL 出错

如果把 username 改成 a' and '1=1

语句就变成这样了
select * from [tb_user] where [id]= 'a' and '1=1'

大概就是这个意思,具体我也不记得了
就可能让参数变成一个条件 从而成功执行SQL 语句

吧'过滤成'一类的 HTML 字符就不存在这个问题
select * from [tb_user] where [id]= 'a&#39 and &#391=1'
这样就不会执行成功,具体你查下SQL 注入的文章