TechDays 2009
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

TechDays 2009

on

  • 925 views

 

Statistics

Views

Total Views
925
Views on SlideShare
924
Embed Views
1

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 1

http://www.slideshare.net 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

TechDays 2009 Presentation Transcript

  • 1. 2009 Tech Days 上課心得報告 校務系統組:邱博顯 報告日期: 2009/10/20
  • 2. 1. SQL Execution Plan
    • 關心執行計畫的時機:
      • 速度變慢而且 CPU 異常飆高,持續在 100% 高檔完全掉不下來。
      • 下 SQL 查詢之後發現效能不佳,想了解指令執行的作業過程。
  • 3.
    • 為什麼會使用到執行計畫:
      • 減少最佳化執行器進行最佳化的時間。
      • 了解作業查詢過程。
      • 了解查詢作業對整體資源的使用狀況。
  • 4.
    • 執行計畫可以看到哪些訊息:
  • 5.
    • Execution Plan 的取得 :
      • SSMS 圖形顯示 ( 按右鍵可以匯出 XML) 、 SET SHOWPLAN_TEXT ON 、 SET SHOWPLAN_XML ON( 在 SSMS 裡點擊該 XML 內容會以圖形方式顯示 ) 。
      • SQL 2008 有 Programmability/Plan Guides 可以用來保存 Execution Plan 。 Keywords: sp_create_plan_guide
  • 6. 2. SQL Injection
    • 防止 SQL Injection 攻擊:
      • 過濾掉不該出現的 --, ‘ 等符號。
      • 過濾輸入資料出現的隱含的 SQL 指令,如 INSERT 、 SELECT 、 UPDATE ( 不建議… )
      • 錯誤訊息不要透露太多細節給 End-User
      • 縮小連線帳戶的權限。
      • 全面檢視軟體程式碼 (Review Source Code)
      • 不要用預設路徑 c:inetpubwwwroot
  • 7.
    • 繪製流程示意圖,掌握程式用到哪些元件、如何溝通,找出可能發生漏洞的點。
    • 用最小權限執行程式
    • 用 On Error Resume Next + If Err.Number <> 0 Then 自行處理錯誤
    • 把不用且功能強大的 Stored Procedure 移除
    • web.config customError = “On”
    • 自己輸入超過 256 個字元檢測 Buffer Overflow
    • Strong Password
    • Windows Update
    • 監控系統運作狀況 : Network Device 、 OS 、 Server
  • 8.
    • MS UAG( Unified Application Gateway)
    • 工商服務時間
    • Fortinet FortiWeb 不夠好
    • Radware Appwall 效能差
    • SmartWAF 不算咖
    • 使用微軟出品的 UAG 防護 SQL Injection ,
    • 即使網頁程式寫的很爛寫的滿滿都是洞,
    • UAG 在不改程式的前題下,
    • 也可以幫助你攔阻惡意 Request 。
  • 9. 3. ASP.NET 4.0
    • ASP.NET 4.0 中的 WebForm 改變 :
      • SEO(Search Engine Optimization) ,以往要自己加 Tag<meta name=&quot;keywords/description&quot;...> ,現在物件支援 Page.MetaKeywords = “…”
      • 支援自訂 ViewState, ClientID
      • 過去只能用 EnableViewState=”false” ,而 AJAX/MVC 幾乎不用 ViewState ,所以有更簡單的宣告方法, PlaceHolder ViewStateMode=”Disabled” ,容器內的 WebControl 就通通停用 ViewState 。
      • Web.config 最少化,預設只剩不到 10 行東西。 (Machine.config)
      • ClientIDMode = “Static” 可以直接指定, AutoID( 過去 ) , Predictable 配合 ClientIDRowSuffix=” 欄位名稱“
      • Snippet Everywhere: HTML, JS, …
  • 10. 4. IE8 相關程式設計
    • IE8 新服務
      • Search Provider
      • Web Slice
      • Accelerator