今天看了衣明志的视频,讲解的是sql注入攻击和xss攻击的原理危害及防止。平时对这些问题我都没有太在意,看到别人写代码使用存储过程,或者是用参数化方式传递字符串,觉得他们多此一举。本来就没有多复杂的功能,为什么一定要写的哪么复杂呢?今天通过学习让我从思想上有了一个转变,原来我们可以轻易地破坏一个安全验证不合格的网站或者是系统。
在网络发展到今天,应用程序web化的趋势越来越明显,作为程序开发者。如果我们不在安全上多加考究的话,其后果可能是相当严重的。所以在今后的开发中,我将更注意网站的安全性。
1,尽量使用参数化或存储过程执行sql命令。
2,对request.querstring过来的数据要进行安全检查。
3,对form表单的数据,cookie的数据要进行过滤。
4,进行客户端与服务端两方面验证。