由于網(wǎng)站被黑的情況較多，以下總結(jié)網(wǎng)站應(yīng)用方面需要注意的安全問(wèn)題：

表單數(shù)據(jù)驗(yàn)證
在數(shù)據(jù)被輸入程序前必須對(duì)數(shù)據(jù)合法性的檢驗(yàn)。非法輸入問(wèn)題是最常見(jiàn)的Web應(yīng)用程序安全漏洞。
需要做到：對(duì)任何輸入內(nèi)容進(jìn)行檢查。接受所有可以接受的內(nèi)容，拒絕所有不能接受的內(nèi)容。
所有提交的表單數(shù)據(jù)，都必須驗(yàn)證兩次，即提交前在客戶(hù)端用Javascript驗(yàn)證，提交后在服務(wù)器端用腳本再次驗(yàn)證，保證數(shù)據(jù)的合法性。尤其是對(duì)于必填項(xiàng)，不僅需要同時(shí)在客戶(hù)端和服務(wù)端驗(yàn)證是否做了輸入，還要驗(yàn)證輸入的數(shù)據(jù)格式是否正確。
需要注意：在客戶(hù)端上的Javascript驗(yàn)證并不是真正意義上的檢查。比如惡意用戶(hù)很容易在自己的終端上禁用腳本執(zhí)行，從而防止客戶(hù)端的內(nèi)容檢查腳本運(yùn)行，使得他可以輸入惡意代碼并成功地提交表單。
對(duì)于圖像上傳功能，需要驗(yàn)證上傳圖像的格式及大小是否合乎要求。

防范SQL語(yǔ)句注入攻擊
程序需要對(duì)所有從外部接收到的數(shù)據(jù)進(jìn)行過(guò)濾，防止惡意攻擊。主要防范的字符有“'|script|exec|insert|select|delete|update|count|chr|mid|master|truncate|declare”。
使用積極的過(guò)濾而不是消極的過(guò)濾。 換句話(huà)說(shuō)，就是檢查應(yīng)該輸入什么，而不是檢查不應(yīng)該輸入什么。只規(guī)定哪些內(nèi)容不應(yīng)該輸入，會(huì)留下太多的漏洞。因?yàn)橛泻芏鄡?nèi)容都不應(yīng)該被輸入。積極的過(guò)濾方式應(yīng)該包括：
• 是否為空（需要去掉空格后判斷）
• 是否是正確的數(shù)據(jù)類(lèi)型 (字符串，整數(shù)等)
• 是否要求帶有參數(shù)
• 字符編碼是否允許
• 輸入內(nèi)容是否達(dá)到了內(nèi)容長(zhǎng)度的大或者最小界限
• 是否允許輸入空值
• 如果應(yīng)該輸入數(shù)字，那么確定數(shù)字大小的范圍。
• 輸入內(nèi)容是否造成了數(shù)據(jù)重復(fù)，如果是，判斷這種情況是否可以接受。
• 輸入內(nèi)容是否符合格式要求（比如是否采用正則表達(dá)式）
• 如果是通過(guò)下拉列表選取的內(nèi)容，確保其包含了有效的值

地址欄變量需要進(jìn)行驗(yàn)證
對(duì)于從地址欄上接收到的變量，必須要驗(yàn)證其合法性。例如，如果從地址欄上收到了文章ID值，則需要驗(yàn)證ID是否為數(shù)字，是否有攻擊字符等。

跨站攻擊的預(yù)防
在驗(yàn)證提交的數(shù)據(jù)時(shí)，為防止跨站攻擊 ，可以檢查上一個(gè)頁(yè)面是否為本站，另外，過(guò)濾<iframe>、<javascript>、<alert>，重點(diǎn)把“<”替換為“&lt;”，把 “>”替換為“&gt;”

目錄和文件夾的安全
用戶(hù)只能訪問(wèn)網(wǎng)站目錄下的內(nèi)容，確保用戶(hù)不能訪問(wèn)網(wǎng)站目錄以外的目錄。
程序中涉及文件包含的地方，要確認(rèn)所有包含的文件的位置正確。為了防止非法包含文件，應(yīng)特別小心“./”或“../”的使用。

網(wǎng)站名稱(chēng)：Web應(yīng)用開(kāi)發(fā)時(shí)應(yīng)該注意的安全問(wèn)題
標(biāo)題URL：http://jinyejixie.com/news13/291363.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供營(yíng)銷(xiāo)型網(wǎng)站建設(shè)、軟件開(kāi)發(fā)、App設(shè)計(jì)、網(wǎng)站收錄、網(wǎng)站設(shè)計(jì)、App開(kāi)發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)