• 首页
• 域名注册
• 虚拟主机
• 网站建设
• 企业邮局
• 网站优化
• 网站备案
• 服务器租用
• 其它服务

域名注册

• 域名相关知识及购买
• 中文域名问题
• 网址URL转发
• 转入转出及过户
• 域名交易

虚拟主机

• 虚拟主机相关知识
• 域名解析
• 网址URL转发
• 转入转出及过户
• 域名交易

网站建设

• 网站建设相关知识
• 域名解析
• 网址URL转发
• 转入转出及过户
• 域名交易

企业邮局

• 域名相关知识及购买
• 域名解析
• 网址URL转发
• 转入转出及过户
• 域名交易

网络营销

• 百度竟价排名
• 网站制作知识
• 网址URL转发
• 转入转出及过户
• 域名交易

网站备案

• 域名相关知识及购买
• 域名解析
• 网址URL转发
• 转入转出及过户
• 域名交易

服务器租用

• 服务器相关知识
• 域名解析
• 网址URL转发
• 转入转出及过户
• 域名交易

• 您的位置：创新互联 >> 网站建设 >> 虚拟主机 >> Web 应用开发时应该注意到的安全问题(1)
  

Web 应用开发时应该注意到的安全问题(1)

• 作者：谭孝梅 文章来源：网站设计制作 点击数：451 更新时间：2011-9-17
• 　　由于网站被黑的情况较多，以下总结网站应用方面需要注意的安全问题：
  　　表单数据验证
  　　在数据被输入程序前必须对数据合法性的检验。非法输入问题是最常见的Web应用程序安全漏洞。
  　　需要做到：对任何输入内容进行检查。接受所有可以接受的内容，拒绝所有不能接受的内容。
  　　所有提交的表单数据，都必须验证两次，即提交前在客户端用Javascript验证，提交后在服务器端用脚本再次验证，保证数据的合法性。尤其是对于必填项，不仅需要同时在客户端和服务端验证是否做了输入，还要验证输入的数据格式是否正确。
  需要注意：在客户端上的Javascript验证并不是真正意义上的检查。比如恶意用户很容易在自己的终端上禁用脚本执行，从而　　防止客户端的内容检查脚本运行，使得他可以输入恶意代码并成功地提交表单。
  　　对于图像上传功能，需要验证上传图像的格式及大小是否合乎要求。
  　　防范SQL语句注入攻击
  　　程序需要对所有从外部接收到的数据进行过滤，防止恶意攻击。主要防范的字符有　　“'|script|exec|insert|select|delete|update|count|chr|mid|master|truncate|declare”。
  　　使用积极的过滤而不是消极的过滤。
  　　换句话说，就是检查应该输入什么，而不是检查不应该输入什么。只规定哪些内容不应该输入，会留下太多的漏洞。因为有很多内容都不应该被输入。积极的过滤方式应该包括：
  　　· 是否为空（需要去掉空格后判断）
  　　·是否是正确的数据类型 (字符串，整数等)
  　　· 是否要求带有参数
  　　· 字符编码是否允许
  　　· 输入内容是否达到了内容长度的最大或者最小界限
  　　·是否允许输入空值
  　　· 如果应该输入数字，那么确定数字大小的范围。
  　　·输入内容是否造成了数据重复，如果是，判断这种情况是否可以接受。
  　　·输入内容是否符合格式要求（比如是否采用正则表达式）
  　　· 如果是通过下拉列表选取的内容，确保其包含了有效的值
  　　地址栏变量需要进行验证
  　　对于从地址栏上接收到的变量，必须要验证其合法性。例如，如果从地址栏上收到了文章ID值，则需要验证ID是否为数字，是否有攻击字符等。
  　　跨站攻击的预防
  　　在验证提交的数据时，为防止跨站攻击 ，可以检查上一个页面是否为本站，另外，过　　滤<iframe>、<javascript>、<alert>，重点把“<”替换为“&lt;”，把 “>”替换为“&gt;”
  　　目录和文件夹的安全
  　　用户只能访问网站目录下的内容，确保用户不能访问网站目录以外的目录。
  　　程序中涉及文件包含的地方，要确认所有包含的文件的位置正确。为了防止非法包含文件，应特别小心“./”或“../”的使用。
• 上一篇文章：从MDF文件恢复Sql Server2000数据库
  下一篇文章：虚拟主机流量大的几个原因