WEB应用数据验证指南

最新推荐文章于 2022-12-09 21:36:39 发布
最新推荐文章于 2022-12-09 21:36:39 发布
阅读量139 收藏
点赞数
分类专栏: 网站性能优化及工具 文章标签: Web SQL 脚本 Apache Blog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_8381/article/details/81758760
版权
1 .为什么要验证数据?
如果不验证数据,容易导致 WEB 应用出现多种漏洞,比如: SQL 注入攻击,命令注入攻击,跨站点脚本攻击,编码攻击,文件系统攻击和缓冲区溢出。因此,为了保护 WEB 应用的安全,我们必须验证数据。
2 .什么地方需要验证数据?
 所有从用户或其它设备接受数据的代码部分。
3 .什么数据需要验证?
HTTP 头部, cookies,session ,查询字符串,表格字段,和隐藏字段等。
4 .怎样验证数据?
4.1 验证策略
按顺序选择使用下面的四种策略:
n   接受正确的数据:如果知道某个数据的所有特点,就可以只接受具有所有这些 特点的数据。比如对手机号码的验证就可以使用本方法。
n   拒绝错误的数据:如果知道具有某些特点的数据是错误的,就可以明确拒绝具 有这些特点的数据。
n   规范化数据: 对数据进行分析,去掉有问题的部分,并进行适当的修改和 转换,从而将其转化为正确的数据。
n   不作验证数据:   万不得已才不验证数据。
4.2 验证方法
n   检查数据类型 ;
n   检查字符型数据的长度范围 ;
n   检查数值型数据的大小范围 ;
n   验证数据来源进行 , 防止跨站攻击 也可以在 APACHE 配置文件里面做 );
n   过滤掉下面的特殊字符或为其编码:
Character
Encoding
<
&lt;    or &#60;
>
&gt;    or &#62;
&
&amp;   or &#38;
"
&quot; or &#34;
'
&#39;
(
&#40;
)
&#41;
#
&#35;
%
&#37;
 ;
&#59;
+
&#43;
-
&#45;
 
n   尽可能使用存储过程操作后台数据库 ;
n   在生成 SQL 语句的地方:
Ø   过滤掉输入变量中的双引号和单引号 ;
Ø   过滤常用 sql 关键字;
Ø   对于数值型字段变量,验证其值确实是数字;
n   适当使用图片验证;
n   验证数据操作的权限;

转自 : http://zoukejian.blog.51cto.com/131276/57886
iteye_8381
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据验证web前端,表单】
da宗熊专栏
07-17 4460
数据验证最近后台比较多,路七八糟的数据验证,弄得不厌其烦。SO,弄了个表单验证的玩意出来,达到快速,简介,不烦人的验证。下面看看,几种方式的数据验证,有什么不同。
WEB之困-现代WEB应用安全指南
01-05
WEB之困-现代WEB应用安全指南》是一本深度探讨现代WEB应用安全问题的专业书籍,旨在帮助开发者和安全专家理解并解决在构建和维护WEB应用过程中可能遇到的安全挑战。本书全面覆盖了WEB应用安全的各个层面,从基础的...
JAVA Spring web mvc 学习 之 6:数据验证
yangyinet的专栏
09-23 227
1.采用Spring验证类进行验证 a.定义实现 spring Validator接口的类 b.调用validate方法进行验证即刻。验证是,验证存在结果Error 中 ---------------------------------------------- 2.使用JSR303进行验证 a.主要使用hibernate中的验证 b.在实体模型类中,使用注解方式进行。 c.在控制器中,使用@Valid注解标示需要进行验证的实体
web简易数字型验证码实现(超简单)
最新发布
Alphamilk的博客
12-09 1639
通过js和css简单实现数字验证码的实现(适合新手)
Java Web常用的数据验证
geforce
11-22 359
常用的数据验证 //Bean Validation 中内置的 constraint @Null(message = "必须为空") @NotNull(message = "必须不为空") @AssertTrue(message = "必须为True") @AssertFalse(message = "必须为False") @Min(value = 3,message = "最小是3") @Max(value = 3,message = "最大是3") @DecimalMin(value = "3",mess
气象 XML 数据应用程序开发指南-内容目录
10-31
- **应用程序类型**:详细说明了Web应用程序、桌面应用程序以及其他类型的气象数据应用开发。 - **操作检查列表**:为开发者提供了一份执行任务前需检查的关键点清单,确保顺利进行开发工作。 - **搜索**:涵盖...
ExtJS Web应用程序开发指南(第2版).zip
07-15
在《ExtJS Web应用程序开发指南(第2版)》中,开发者可以深入了解如何利用这个强大的框架来创建功能丰富的Web应用。这本书涵盖了从基础概念到高级特性的全方位指导,旨在帮助读者熟练掌握ExtJS的开发技巧。 1. **...
页面数据校验类--很不错的喔.一直在用.
Welcome to Chandler.C's blog
01-12 1449
using System;using System.Text;using System.Web;using System.Web.UI.WebControls;using System.Text.RegularExpressions;namespace zcl{ ///  /// 页面数据校验类 /// Chandler /// 2006.1 ///  public class PageValid
在struts2里,完成登录页面,使用validate对输入数据进行校验,用户名必填,密码必填且长度大于6
05-17
在struts2里,完成登录页面,使用validate对输入数据进行校验,用户名必填,密码必填且长度大于6。
web页面数据验证提醒方式
weixin_30871905的博客
07-25 350
虽然现在MVC比较热, 但是使用Web Form方式进行开发的项目应该还有很多,这就少不了使用验证控件,但是验证控件在验证不通过时,提醒的方式很简单,不够友好。如果页面布局是流布局方式,很容易因为显示出来的错误信息造成布局混乱。AjaxControlToolkit的ValidatorCallout虽然可以很好,但是需要为每一个验证控件要再加多一个控件, 在实际使用中太麻烦了,于是分析了Valida...
【SpringBoot web-1】web项目数据校验
云深不知处
08-16 1万+
SpringBoot开发基础web项目(三)数据校验 数据校验web开发中,数据校验是非常重要的,后端程序必须通过严格的校验来确保前端传入或者数据层获取的各项参数从语义上来讲是正确的。 JSR 是一个规范文档,指定了一整套 API,通过标注给对象属性添加约束。而Hibernate Validator 是 JSR 规范的具体实现,Hibernate Validator 提供了 JSR 规范中所有...
Web应用数据校验
weixin_34227447的博客
03-15 354
对于Web应用数据校验有两种方式 (1)服务器端的校验:把信息发送到服务器端,服务器端收到信息后,进行相应的处 理,处理之后,把结果告诉我们,跳转到不同的视图; (2)客户端的校验:不会把信息发送到服务器端,在客户端通过脚本语言进行校验; 一个健壮的Web应用,服务器端的校验是必须的,因为有些恶意客户可能会尝试跳 过我们的页面直接向服务器端发送请求,例如:某些客...
常见web漏洞及防范(转)
热门推荐
hackerie的博客
01-22 1万+
单个漏洞,需要进行排查与整改,借着别人的智慧,一个简单的收集。最好能够将常见漏洞,不限于web类的,进行一个统一的整理。这是今年的任务。 进行漏洞的工具的收集,为未来的工作好基础。。。 一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的S...
web应用开发,客户端提交的参数如何进行校验
xzb5566的专栏
05-08 351
一、数据校验的必要性 一般服务端针对客户端提交上来的数据,进行校验都是自己手写校验规则,比如参数不能为空,字符长度不能超过多少,必须为数字,不能小于0 等等规则,但是千篇一律写重复的校验代码,估计你也累了,市面上早就有人想到了这个问题,也了相应的工作——接口,实现。 接口: validation-api 实现: hibernate-validator validation-api —— JSR303 规范定义的 hibernate-validator —— 是validation-api的具...
关于Web 验证方法你知道几种
zjjcchina的博客
12-08 2206
身份验证(Authentication)是具备权限的系统验证尝试访问系统的用户或设备所用凭据的过程。相比之下,授权(Authorization)是给定系统验证是否允许用户或设备在系统上执行某些任务的过程。 简单地说: 身份验证:你是谁? 授权:你能什么? 身份验证先于授权。也就是说,用户必须先处于合法状态,然后才能根据其授权级别被授予对资源的访问权限。验证用户身份的最常见方法是用户名和密码的组合。用户通过身份验证后,系统将为他们分配不同的角色,例如管理员、主持人等,从而为他们授予一些
Web应用程序安全必须重视八大问题
草原孤狼的专栏
02-18 676
对于任何一个项目,开始阶段对于交付安全的应用来说非常关键。适当的安全要求会导致正确的安全设计。下面讨论在分析Web应用程序的安全要求时需要考虑的八大问题。 1、认证和口令管理:这主要是一种一次性的活动而且仅仅是作为项目的一部分而完成的。有人可能会问一些与认证和口令管理有关的问题: ◆口令策略:这个问题非常重要的原因在于避免与用户凭据有关的字典攻击。 ◆口令哈希算法:确保通过适当的
SharePoint Web应用程序管理指南
创建Web应用程序是管理SharePoint的第一步,这个过程涉及到配置IIS应用程序池,选择SQL Server数据库,定义主机头,以及设置Web应用程序的权限和身份验证模式。在创建过程中,需谨慎选择配置参数,以确保性能和安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值