十堰網站建設中要警惕網站程序中的安全漏洞

時間：2010-08-10      閱讀: 次

　　為了迎合SEOer，現(xiàn)在網站賣黑鏈的鋪天蓋地，這些鏈接獲得的渠道多數(shù)是通過入侵網站，通過網站程序的漏洞或者服務器的漏洞獲得網站的修改權限，因此，對于網站的安全防范我們要提高警惕。一般網站的安全分為：服務器配置安全和腳本程序安全。這里，我們來談談關于十堰網站建設中網站安全的程序設計原則性問題。

　　在編寫網站程序時，程序員往往會忽略程序的安全性設置，尤其是對用戶輸入信息的過濾。很容易導致不法分子對數(shù)據(jù)庫進行非法的操作、上傳木馬等。一般出現(xiàn)比較多的漏洞是：注入和跨站兩種。

　　注入漏洞是由于程序沒有對用戶的輸入數(shù)據(jù)進行嚴格的檢查、過濾，使攻擊者可以把SQL命令插入到請求查詢的字符串中，根據(jù)程序返回的結果，獲得他所想得到的數(shù)據(jù)。

　　跨站漏洞是指攻擊者利用網站程序對用戶輸入的信息過濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進行某種攻擊的一種方式。

　　除了以上兩種，還有越權、上傳、引擎等多種漏洞。一個站點程序的安全可能會導致整個服務器的“淪陷”，對于網站來說，這關系到網站的信譽、用戶的隱私、網站的發(fā)展等問題。

　　不要相信用戶輸入的數(shù)據(jù)

　　永遠不要相信任何時候用戶所輸入的任何數(shù)據(jù)-這是編寫安全的WEB程序的基本原則。用戶輸入的數(shù)據(jù)，在程序執(zhí)行前一定要經過嚴格的檢查、過濾非法字符串。通過對特殊文字、編碼、字段數(shù)組每個元素以及SQL語句關鍵字進行過濾，檢查各項輸入參數(shù)的長度、格式數(shù)據(jù)類型以及有效性的檢查，采取對將要入庫、顯示的內容進行關鍵字替換等措施來有效阻止注入攻擊和跨站攻擊。

　　輸出內容檢測

　　對于代碼輸出的程序過程，在輸出前檢測輸出的代碼中不含有跨站攻擊的腳本。我們不信任用戶輸入的數(shù)據(jù)，程序輸出的數(shù)據(jù)我們也一樣不能完全信任。這就好比設置了一道門，不管是進來還是出去的人，都要嚴格檢查。防止在進入檢查的時候出現(xiàn)紕漏。

　　防止越權操作

　　凡涉及到用戶和管理員的操作，必須要嚴格檢查操作的合法性，特別是對會員自身的操作，要檢查數(shù)據(jù)是否屬于操作者的本人，是否存在越權的行為。而且在驗證其身份的合法性時一定要引用系統(tǒng)服務端的程序。

　　上傳文件的檢查

　　所有對網站文件的讀寫操作都要經過權限的判斷、類型檢查，杜絕用戶上傳木馬、病毒等文件或者刪除，篡改系統(tǒng)程序文件。不管是文件、文件夾的創(chuàng)建、修改還是瀏覽讀取，要進行過濾存在安全隱患的字符，最好不要給用戶更改文件后綴名的權限。

　　信息加密

　　建立一個完善的加密體制，確保密碼和信息的安全。對于一些特殊的鏈接字符串、參數(shù)也要進行不要的加密措施，最大限度保障系統(tǒng)信息的安全。