如何用CSS 快速制作下拉菜单 做网站,网站建设的基本理念 如何让网站看起来更好,更专业? 网站建设知识企业建网站时选择虚 要利用好网站标题title的做 外贸网站建设和规范设计有哪些? 了解网站建设的基础知识:什么是 东莞网站建设之内容建设-创建内 网站建设中UTF-8网页乱码问 CSS布局有那些技巧?CSS需 我想做网站应该找那些专业的东莞 何为Xhtml?与html相比 色彩搭配之网站设计风格|如何设 为什么要做反向链接?什么是反向 DIV+CSS世界主流浏览器兼 什么是SNS?具体有哪些类型的 网站建设是网络营销基本之道,是 在网站设计时应注意的搜索引擎优 HTML5做了哪些改进呢? 网站程序安全性有哪些 如何提高网站流量?有那些的办法 网站策划对网站推广有什么影响吗 Dreamweaver制作网页 行业网站的应如何推广?有什么策 建设一个企业网站花费贵吗|东莞 网站改版需要注意的地方 为什么网站建设有些公司报价很便 风景图片|东莞网站建设素材图库 建立网站可为企业带来什么 网站制作,客户需要提供哪些网站 企业建立自己品牌网站的重要性及 企业网站主要体现功能 东莞网站建设策划的有那些误区? 你想知道如何查询网站收入页数? 行业网站建设解决方案之行业酒店 一个优秀站点的几个要素 您的网站符合标准吗?[方格网络 网站策划中有那些常见误区? 企业网站一般系统基本功能模块介 网站对企业有何作用?有何价值? ASP的运行环境|asp需要运 企业网站建设与企业自助建站的区 OA办公自动化系统知识库 2009网站ICP自主备案操作 方格OA系统特性展示--帮你实
您现在的位置是:网站程序安全性有哪些东莞方格网站建设为大家讲述网站程序安全性,主要有以下几点。
1 防止SQL注入技术
为什么必须防止SQL注入?
相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上的网站扫描,就能发现部分网站存在SQL注入漏洞,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。
怎样防止SQL注入?
比如URL、表单等提交信息时,通过一段防止SQL注入的过滤代码即可防止出错信息暴露,或者通过转向,当系统出错时转到一个提示出错的页面等。同时服务器权限设置是一个非常重要的方面,由于涉及到服务器的配置比较多,本文不介绍。
对于文本型输入,如果要进行检查,就得根据字段本身的性质进行。例如如果是年龄,就得限定必须是数字,大小必须限定在一个范围之间,比如说18-120之间。对于用户名,应该建立一个集合,这个集合里存放有被允许的字符,或被禁止的字符。
这里特别需要说明的一点是关于检查程序的问题。目前,程序对输入数据的检查是在前台通过客户端脚本完成的,这样攻击者很容易就可以绕过检查程序。建议采用前后台结合的方法,既可以保证效率,有可以提高安全性。
怎样测试程序已防止了SQL注入?
如http://www.XXX.com/jiaren.asp?ID=544,此网站用ID来传送数值,如果在ID数值后面加一个SQL敏感符号,英文单引号“’”,打开此链接,如果出现的是浏览器的默认出错提示,则需要设置浏览器,使其错误提示出现,方法为打开浏览器:选项—Internet选项—高级,在设置里找到显示友好的HTTP错误信息勾掉,确认后再刷新,如果此时出现了数据库出错的提示,如:Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e21',那么说明本程序并没有防止SQL注入,反之如果只出现了如:“提醒您, URL有误,请与管理员联系”之类的提示,说明SQL已经防止了注入。检测表单方法如:如提交脚本,在输入框中输入特殊字符如:script_等,在此不再叙述,测试者可以在网上找到很多这样的方法。
2 验证码技术
为什么必须使用验证码?
普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
怎样使用验证码技术?
所谓验证码,就是将一串随机产生的数字或符号,生成一幅图片,图片里加上一些干扰象素,由用户肉眼识别其中的验证码信息,输入表单提交网站验证,验证成功后才能使用某项功能。放在会员注册、留言本等所有客户端提交信息的页面,要提交信息,必须要输入正确的验证码,从而可以防止不法用户用软件频繁注册,频繁发送不良信息等。
怎样测试验证码是否有效?
必须保证所有客户端交互部分都输入验证码,测试提交信息时不输入验证码,或者故意输入错误的验证码,如果信息都不能交,说明验证码有效,同时在验证码输入正确下提交信息,如果能提交,说明验证码功能已完善。
3 密码加密技术
为什么必须使用密码加密?
没有经过MD5加密的密码直接显示在数据库表中,如果被黑 客下载数据,查出数据库中的密码,或者内部开发人员通过数据库查出用户的密码,都对以后用户的信息安全造成很大的影响。如果使用MD5加密后的密码,在数据库中看到的是一连串经过加密的字符串,不能看到真正的密码,这样能更好地保护网站的安全。虽然黑 客也可以使用暴力破解,但是我们再结合生成图片验证码技术,那暴力破解的难度就将大大增强。
怎样使用MD5加密技术?
MD5的全称是Message-Digest Algorithm 5,当用户登录的时候,系统把用户输入的密码计算成MD5值,然后再去和保存在文件系统中的MD5值进行比较,进而确定输入的密码是否正确。通过这样的步骤,系统在并不知道用户密码的明码的情况下就可以确定用户登录系统的合法性。这不但可以避免用户的密码被 具有系统管理员权限的用户知道,而且还在一定程度上增加了密码被破解的难度。
怎样测试密码已经加密?
凡是经过加密的密码,系统功能上多半有找回密码的功能,这是表面的测试,测试人员可以调用开发人员的数据表,查询是否经过加密,从而保证系统密码的安全,一般对具有大量会员的商业性网站必须使用。
4 数据备份技术
为什么必须使用数据备份?
当网站被黑 客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
怎样使用数据备份?
一般人认为数据备份就只是数据库的备份,其实还有动态变化的图片、文件等也需要备份,因为文件、图片一般我们是不写入数据库里保存的。
一般我们采用数据库系统自动定时备份、定时自动删除几天以前的数据等,即可完成数据的备份功能。而图片、文件一般是不能自动备份,需要手工操作,所以我们必须要定期手工对网站的图片、文件进行备份操作。
怎样测试数据已经备份?
对于已经做好的网站,数据库系统都会自动备份到服务器某个文件夹下,那么测试时我们就需要让程序开发人员提供可以下载数据备份文件的路径,即可知道是否已经做了自动备份功能,而自动备份间隔时间的确定,需要根据网站的更新频率来决定。
本文仅介绍四种网站程序的安全的解决方案,以及在此基础上的检测方法,以保证系统产品的安全性,提高产品质量,至于具体的详细操作,方法有许多种,在此不予介绍。
网站程序的安全还有许多需要介绍的,尤其是服务器的配置,比如我们必须坚持服务器配置权限最小化原则等,在此仅从程序上去介绍,此四种网站程序的安全标准适合所有以数据库为基础的网站程序,无论你使用什么样的开发语言,什么样的开发平台,都需要做好以上四个方面。
