本文探讨了网站安全性设计的两个主要方面:运行环境安全和网站程序安全。物理安全包括保护设备免受物理破坏,而软件安全涉及及时更新操作系统和数据库系统。对于网站程序,应遵循不信任原则、输入检查原则、用户最小权限原则、程序运行最小权限原则、组件安全性原则和程序错误处理原则,确保用户输入的合法性,减少潜在的安全风险。
对于网站的安全可以从运行环境与网站程序两个方面来分析:
其一,网站运行环境的安全主要包括物理的安全和网站运行支撑软件本身的安全。
物理安全是指系统机器及其外设不遭受各种物理破坏,如被盗、遭火灾、水灾等;支撑软件本身的安全是指网络操作系统、web服务器系统及数据库系统本身的安全,此类安全用户是无能为力的,只有及时安装厂家发布的安全补丁程序。
其二,对于网站程序自身的安全,应该从以下几个方面考虑。
(1)不信任原则
对网站程序来讲,访问网站的用户都是不被信任的,他们当中就隐藏着攻击者。所有用户的输入都应该检查。合法的输入才可以进入流程,这样就可以最大限度的保证程序的安全。
(2)输入检查原则
从目前的网站程序来看,用户的输入分为文本型和二进制型。对于文本型输入,如果要进行检查,就得根据字段本身的性质进行,如邮编必须限制为六位数字,身份证号码必须符合身份证号码的编码规则等。
需要说明的是,为了进一步提高网站的安全性,应该采用前后数据检查相结合的方法来完成程序对输入数据的检查,避免用以前采用的只在前台通过客户端脚本完成数据检查的做法,因为原来的做法攻击者和容易绕过检查程序 ,如SQL注入攻击等。
(3)用户最小权限原则
访问网站的用户有什么样的权限,要根据网站的性质和需要客户做什么来决定,但是有一个基本的原则,就是服务器的安全性。对于访问网站的用户,尽量规范他们可以输入的内容&#
最低0.47元/天 解锁文章
2859
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
