My Blog

留个记号:
http://insentient.net/

感谢剑心提醒此漏洞.
http://www.loveshell.net/blog/blogview.asp?logID=224
(又是一个严重的漏洞 , 实在对不起大家啊 )

请下载完整文件: http://voidland.com/files/lbs2.0.313.zip

- 修补一个 SQL Injection 漏洞
- 加强对潜在 XSS 的保护.

改动的文件为: source/src_trackback.asp 和 class/functions.asp .

为保证安全, 旧版本文件下载已删除

感谢剑心帮助发现此漏洞, 以及鬼仔的提醒.
http://www.neeao.com/blog/article-3918.html
(这个漏洞的确很严重 )

请下载完整文件: http://voidland.com/files/lbs2.0.312.zip
或下载补丁: http://voidland.com/files/lbs2.0.312patch.zip

为保证安全, 旧版本文件下载已删除

这么久没动过的 LBS, 终于被 spam 拉下水了.
因为新版还没时间写完, 只能对旧版本做些小更新.
这个版本只在后台增加了一个评论最大 url 数目限制, 默认值为 2.
这个限制对评论, trackback 和留言簿有效, 编辑评论时再保存不受此限制影响.

虽然不能完全解决 spam 的问题, 但至少还可以先凑合一下
(我先打开 trackback 试试...)

下载: http://voidland.com/files/lbs2.0.311.zip
上传完后请使用 _upgrade_2.0.304_2.0.310.asp 升级数据库, 升级完成后请记得删除 _upgrade_2.0.304_2.0.310.asp 文件.


Spam 现在改成只加 1 个垃圾链接了, 不得不把允许的 url 上限改到 0...
要更好的解决方案, 只能等什么时候写完新版了...
...

Read More...

感谢 nt_family 帮助找出这个漏洞.
http://www.woidiy.com/blog/article.asp?id=116

大家可以下载这个文件, 然后覆盖原目录里面的 stats.asp 文件.
完整的发布包也已经更新.

因为没有太大的修改, 所以版本号还是 2.0.304.

至于新版本, 继续遥遥无期.

更新
- 把我的数据库从发布包删除
- 修正 stats.asp 的错误

无心做事, 只会做错事啊...

转眼, 又一年.
更新 LBS 的承诺依然没有兑现.

当初, 这只是自己的一个玩物.
现在, 已经附带了太多的感情责任.

有时, 很庆幸当初没有给出一个具体的更新时间.
有时, 很感动大家的支持, 抽出时间写几段代码.
有时, 真的想说不再更新了, 免得大家在这里期望一个无限期的新版.

现在, 我依然很难在近期完成这个愿望.
现在, 只能说, 感谢大家这么久的关心.
现在, 唯一能确定的是, LBS 还会有个更新.

生活, 有时候真的不能完全按照自己的选择去过, 因为有太多的牵挂.

如果等得无奈, 请换用其他的 Blog 程序.
毕竟, 即使发布了新版本, 我也无法保证今后的更新.

年复一年, 世界依然.

迟迟不能更新版本, 只好在这里写点东西凑凑数.

收获:

1/ 第一次尝试用 JScript 写 ASP 应用. 了解到很多优势和缺陷.
最大的优势在于其代码风格的舒适度和灵活的 Object 应用. 而缺陷也是很明显的:

a. 不能直接遍历 ASP 的内建对象 (例如 Request.Form 之类), 需要用到 Enumerator.
b. JScript 的 Array 不像 VBScript 那样是单纯的数据结构(是一个 Object), 无法直接放入 Application.Content 存储, 必须先自己序列化(转成字符串).
c. 通过 ADO.Recordset 对象访问数据库的数据时非常别扭. (有兴趣可以看看 DBConn 的实现)
d. JScript 没有很好的二进制处理支持(上传和验证图像的生成部分)

2/ 第一次尝试写结构化的 ...

Read More...

毕竟最近很忙, 毕竟没什么心情.
不过答应的事情还是得完成, 还好没有答应什么时候.
最后一个 ASP 版本什么时候改完, 我自己也不太清楚.
不过这个对 ASP 的最后纪念, 不会是一个敷衍了事的版本.
特别是防垃圾...

至于以后转到 PHP 之类的平台, 就更遥遥无期了.