...提升网站程序开发安全的6大诀窍...

最新推荐文章于 2024-07-16 17:56:11 发布
最新推荐文章于 2024-07-16 17:56:11 发布
阅读量509 收藏
点赞数
分类专栏: 网站建设 文章标签: 程序开发 javascript 数据库 脚本 浏览器 引擎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luofuxian/article/details/2578714
版权

 
        提升网站的安全性,有时只要在网站开发过程中多留意,或者多了解一些黑客常用的手法,就能降低网站被骇的机率。底下我们将介绍6种诀窍,常常是网站开发时常见的问题,如能多留意,对于提升网站应用程序的安全性将有所帮助。
1. 前后、端都要检查使用者输入
       许多程序开发人员喜欢用JavaScript来检查使用者输入的内容,虽然透过正规表达能检视出一些不正常的语法,然而如果黑客将页面储回自己的计算机,或是透过JavaScript语法修改DOM,就能移除掉这些检查机制。 因此前端做过的检查工作,丢给后端程序之前,仍必须查验一遍,千万不要以为前端做过检查,就可以放行。
2. 过滤使用者输入内容
        目前网站安全最常见的问题,莫过于SQL Injection和XSS攻击手法,而这两个攻击的源头,都来自于没有妥善过滤由使用者传来的数据,除了输入数据之外,包含cookie、参数都可能成为黑客利用的工具。 这些攻击手法都包含一些特定字符,像是「'」、「`」、「 "」、「 <」、「 >」、「 %xx」、「/0xx」等,因此在任何使用者可以传递字符的地方,都要设下检查的机制,过滤数据中是否包含这些特殊字符,将特殊字符进行转化,例如将 「'」转换成「'」或「<」转换成「<」。
3. 妥善处理错误讯息
       有许多程序开发人员对于错误处理不够细心,导致脚本语法或数据库发生错误时,直接让错误码呈现在浏览器,错误信息对一般的使用者没什么意义,但往往会给黑客带来许多参考价值。
4. 检查上传内容
        由于Web 2.0带来的强调分享机制,因此也越来越多网站允许使用者上传数据。然而黑客有可能在上传的档名上动手脚,如果不加以检查,就有可能执行对网站有所危害的脚本程序。
5. 敏感信息要妥善处理
       有些档案该删就删,例如一些应用程序的安装脚本不要留在系统上,账号等相关的敏感数据一定要设在防止搜寻引擎索引、快取的数据夹,或设定相关的防索引语法。
6. 将密码以编码方式储进数据库
       密码不要采用明码的方式储进数据库,透过像是md5的方式进行编码,让敏感信息可以受到更好的保障。

luofuxian
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
开发人员提高网站开发的安全性
03-17
主要用于扫描网站目录,便于开发人员提高网站开发的安全性
Web开发安全
赤蓝紫の博客
02-06 2715
Web开发安全 参加字节跳动的青训营时写的笔记。这部分是刘宇晨老师讲的课。 个人博客(欢迎光临):Web开发安全(赤蓝紫) 1. 攻击 1.1 跨站脚本攻击(XSS) XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 如填写表单信息时,如果盲目相信用户的提交内容,那么假如用户填写了类似<script>alert("注入恶意代码")</script>的信息,然后直接通过element.innerHTML
安全开发-网站架构
Coisini的博客
05-27 148
Web安全 - 如何开发一个安全网站
weixin_39805244的博客
10-10 2446
SQL注入
开发一个安全的小网站(一)安全要素
一个码农的笔记
09-02 1266
1.      网站建设的通信协议安全:(1)要用到ssl来保障通信传输不被窃听(1)ssl要用最新的版本,避免心脏滴血漏洞的影响(3)证书要加密传输 2.      服务器建设安全:【1】如果选用windows:(1)最好用windows2008 r2版本(2)网站的权限要适当降低,不要用管理员权限搭建网站(3)网站上传文件后,存放文件的地方要禁止脚本的执行,上传要严格检查上传的后缀名(可
NextSuite 6.9.20.rar
06-08
总的来说,NextSuite 6.9.20 是一套全面的 Delphi 开发工具,通过其用户手册、历史记录、源代码示例和各种资源,为开发者提供了一套强大的工具来提升他们的 Delphi 应用程序开发体验。无论是初学者还是经验丰富的...
Linux远程控制Windows有诀窍.pdf
09-07
《Linux远程控制Windows有诀窍》 在信息技术领域,跨平台的远程操作是常见的需求,尤其是在混合环境中的系统管理员和开发者。这篇文档主要探讨如何利用Linux操作系统远程控制Windows主机,重点介绍了VNC(Virtual ...
达梦数据库DM8 SQL程序设计.pdf
10-19
《达梦数据库DM8 SQL程序设计》是一份详细介绍...总的来说,《达梦数据库DM8 SQL程序设计》是DM数据库用户不可或缺的参考资料,无论你是初次接触还是资深开发者,都能从中受益匪浅,提升你的数据库管理和应用开发能力。
nextsuite6_11-21.rar
12-04
总的来说,Nextsuite6_11-21.rar组件包为开发者提供了一整套强大的VCL组件,覆盖了数据展示、数据库交互、对象调试和电子表格处理等多个方面,极大地提升了开发效率和应用程序的专业性。通过深入学习和使用这些组件...
计算机软件-编程源码-XML 诀窍.zip
05-22
XML(eXtensible Markup Language)是一种用于标记数据...通过学习和实践这些XML编程技巧,开发者能够更有效地处理XML数据,提升程序的灵活性和可维护性。在实际项目中,合理利用XML可以大大简化数据的处理和交换过程。
网站开发安全心得
梦昼初
03-10 1373
1、漏洞 1.1、绕开漏洞 1、避免短信、邮件炸弹:控制短信、邮件发送数量限制、短信、邮件发送前最好校验1分钟有效图形验证码,验证码(短信、邮件验证码)校验成功后必须失效,防止用同一个验证码多次校验。 2、表单重复提交:做好按钮控制,提交统一用验证码做校验。 3、页面需要展现什么信息,后台传什么信息,不需要的不传到页面。 4、敏感信息做加密处理,尤其用户信息、尽量避免用户id做参数传输,如必要...
WEB网页的安全开发方式--目前了解到的攻击方式
decan1994的博客
04-26 1029
最近公司刚刚进行了一个小培训,是关于web的安全开发方式,受益很大,在这里做一个记录,也跟大家分享一下。 目前了解到3种攻击方式: ①Cross Site Scripting ②SQL Injection ③数据权限问题 一、Cross Site Scripting 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序安全漏洞攻
网站安全-安全策略
weixin_41868328的博客
05-29 1688
网站安全,对于网站相关开发人员来说是个老生常谈的问题,网站开发的历史,在国内大约有二十年了,所以各方面的资料都比较丰富。以下内容有部分从网络整理而来,部分是自己的体会。 主要参考《白帽子讲web安全》一,开发者必须要有基本的网站安全开发常识,比如0day、sql-injection、XSS、CSRF、恶意上传(脚本语言的网站尤其要注意)等,这些资料网上有很多,可以自行搜索。安全相关的文档可以考虑标...
如何提高网站安全性
BoGo专栏.PHP
02-11 5627
古人有句话说的比较好,工欲善其事必先利其器,我们想要提高网站安全性,先要明白有那些因素会影响到网站安全问题。       一、网站程序问题       很多网站安全问题大多是由于网站程序存在漏洞,所以想要提高网站安全性,必须要选择安全的后台cms系统,若有能力可以自己去开发网站后台,这样安全性能得到极大的提高,若是从网上选择一些免费开源的源码来做网站,需要注意以下两点:      
Web 开发常见安全问题
永不放弃的博客
03-01 1万+
不是所有 Web 开发者都有安全的概念,甚至可能某些安全漏洞从来都没听说过。这就是这篇科普文章的存在意义,希望 Web 开发者在开发时能依此逐条检查代码中的安全问题。 注:服务器运维相关的安全注意事项不在本文之列 这篇文章主要包含以下内容: 前端安全 XSS 漏洞CSRF 漏洞 后端安全 SQL 注入漏洞权限控制漏洞SESSION 与 COOKIEIP
Web开发常见安全问题及解决
sigmeta的博客
05-22 1万+
Web攻击动机:恶作剧;关闭Web站点,拒绝正常服务;篡改Web网页,损害企业名誉;免费浏览收费内容;盗窃用户隐私信息,例如Email;以用户身份登录执行非法操作,从而获取暴利;以此为跳板攻击企业内网其他系统;网页挂木马,攻击访问网页的特定用户群;仿冒系统发布方,诱骗用户执行危险操作,例如用木马替换正常下载文件,要求用户汇款等1.SQL注入(SQL Injection)定义由于程序中对用户输入检查...
web大前端开发中一些常见的安全性问题
热门推荐
在web前端的道路上,越走越远!
08-27 2万+
1  跨站脚本攻击(XSS攻击)         XSS(Cross Site Scripting),跨站脚本攻击。XSS是常见的Web攻击技术之一.所谓的跨站脚本攻击指得是:恶意攻击者往Web页面里注入恶意Script代码,用户浏览这些网页时,就会执行其中的恶意代码,可对用户进行盗取cookie信息、会话劫持等各种攻击. 解决方案: (1) 输入过滤。永远不要相信用户的输入,对用户输入的数
Sortable.js板块拖拽示例
w11111xxxl的博客
07-14 773
ghostClass: 'blue-background-class' // 拖动时元素的样式类。group: 'shared', // 允许与其它具有相同组名的元素交互。-- 引入 Sortable.js 的 CSS 和 JS 文件 -->width: 150px;/* 减少宽度 */height: 70px;/* 设置高度 */-- 引入 Sortable.js 的 JS 文件 -->animation: 150, // 动画速度。// 初始化 Sortable。
ReactRouter v6升级的步骤
feixin369的博客
07-14 419
React Router v6 引入了一个 Routes组件,它有点像Switch,但功能要强大得多。与Switch相比,RoutesReact.lazy。
vue搜索框过滤--- computed、watch区别
最新发布
学习笔记分享给大家
07-16 333
计算属性computed适用于需要基于其他数据动态变化,并且需要缓存的场景。侦听器watch适用于需要响应数据变化,执行异步或开销较大操作的场景。方法methods适用于定义组件的具体行为,包括事件处理和业务逻辑等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值