伏笔科技7年品质服务,专注提供香港、美国等免备案虚拟主机和国外服务器产品! 咨询电话:℡ +852-5136-7029
虚拟主机

感谢您的关注,我们一直致力于为您提供放心、满意的服务。

返回首页

虚拟主机Web应用开发需要注意的安全问题

来源:FubiTech 时间:2018-12-15 23:57:27 标签:安全问题 需要注意 虚拟主机 开发 澳洲主机哪个好 热度:9916℃

虚拟主机Web应用开发需要注意的安全问题


近几年黑客袭击防不胜防,这就需要咱们在做任何操作都要提高safe防护认识。本文分享下虚拟主机Web应用开拓时应该注意到的safe问题,希望能帮大伙提高safe防护。

表单数据验证

在数据被输入程式前必需对数据正当性的查验。非法输入问题是最常见的Web应用程式safe漏洞。

需要做到:对任何输入内容进行检查。领受全部能领受的内容,拒绝全部不能领受的内容。

全部提交的表单数据,都必需验证两次,即提交前在客户端用Javascript验证,提交后在服务器端用script再次验证,包管数据的正当性。特别是对于必填项,不仅需要同时在客户端与服务端验证能否做了输入,还要验证输入的数据格式能否准确。

需要注意:在客户端上的Javascript验证并不是真正意思上的检查。譬如恶意使用者很轻易在本人的终端上禁用script执行,从而防备客户端的内容检查script启动,使得他能输入恶意代码并成功地提交表单。

对于图象上传功能,需要验证上传图象的格式及大小能否合乎要求。

防护SQL语句流入袭击

程式需要对全部从表面接收到的数据进行过滤,防备恶意袭击。主要防护的字符有“'|script|exec|insert|select|delete|update|count|chr|mid|master|truncate|declare”。

使用积极的过滤而不是消极的过滤。换句话说,就是检查应该输入甚么,而不是检查不应该输入甚么。只规则哪些内容不应该输入,会留下太多的漏洞。由于有许多内容都不应该被输入。积极的过滤方式应该包含:

?能否为空(需要免去空格后断定)

?能否是准确的数据类型(字符串,整数等)

?能否要求带有参数

?字符编码能否允许

?输入内容能否到达了内容长度的最大或者最小界线

?能否允许输入空值

?如果应该输入数字,那么决定数字大小的范畴。

?输入内容能否形成了数据反复,如果是,断定这类情况能否能领受。

?输入内容能否符及格式要求(譬如能否接纳正则表达式)

?如果是通过下拉列表拔取的内容,确保其包罗了有效的值

地址栏变量需要进行验证

对于从地址栏上接收到的变量,必需要验证其正当性。比如,如果从地址栏上收到了文章ID值,则需要验证ID能否为数字,能否有袭击字符等。

跨站袭击的预防

在验证提交的数据时,为防备跨站袭击,能检查上1个页面能否为本站,除此之外,过滤

<”掉换为“<”,把>

目录与文件夹的safe

使用者只能访问站点目录下的内容,确保使用者不能访问站点目录之外的目录。

程式中关涉文件包罗的位置,要确认全部包罗的文件的位置准确。为了防备非法包罗文件,应尤其谨慎“./”或“../”的使用。

后台全部程式页面需要做授权验证

如果未经过成功登录,不允许访问任何1个后台程式页面。如果用Session验证,Session有效期不能太长,提议为15分钟。

成功登录后的使用者,需要验证能否有某个操作的权限。

重要信息需要加密

对于密钥、会话令牌等重要信息,需要进行加密后再save到数据库,不允许用明文方式。一般接纳MD5加密方式。

配置文件safe

程式中的配置文件(特别是数据库连接配置)需要特别进行safe保护,配置文件不能允许使用者直接访问,配置文件的文件扩展名不能为.inc、.txt,必需为可执行script扩展名,如.、.php、.jsp、.x…

数据库safe

数据库文件需要特别safe保护,对于使用access数据库的程式,不能允许数据库直接能通过浏览器下载,数据库文件的路径与文件称号需要不易猜测到,数据库文件的扩展名不能为.mdb。能设置服务器来取缔此类型的文件下载。

使用“最低权限”限定数据库使用者的权限。如果使用SQLSERVER或MySQL数据库,能考虑只给浏览使用者以读权限,后台使用者以读、写及删权限。

资源的释放

程式中的使用了重要资源后,必需进行显式释放与关闭,特别是数据库连接、文件句柄等资源。

防备过度详细的错误提示。

袭击者常常会故意输入错误的内容,进而分析系统给出的错误提示信息,从中获得系统信息,发现可能存在的漏洞。

对于使用Access数据库的使用者来讲,过于详细的错误提示可能会暴暴露数据库文件的路径。

友善的操作反应提示

对于流程性的操作,需要给使用者的操作以友善性反应提示,让使用者知道本人的操作能否有问题,问题在甚么位置。

比如,会员注册表单,如果使用者提交时,忘却填写某些项,能在该项后以夺目的色彩来提示,提示的显现最好以AJAX技术完成无革新结果,提升使用者体会。

后台的程式对于一些操作,如清除、复核,必需让使用者确认一下才能执行。

不论使用者操作成功或失利,都需要给与提示信息。

验证码的使用

对于使用者注册、使用者登录、调查问卷、在线反应、讨论等程式,需要加上验证码,防备机子人绕过限定提交渣滓信息。

上一篇:WordPress如何更改JPEG图片的压缩质量

下一篇:IDC市面范围越来越大变革缘故一看便知


为您推荐以下内容