我的服务器有硬件防火墙，而且只开了80端口，是不会有网络安全问题的

　 常见脚本***及其防护技巧 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

作为网络管理员，不少朋友也同时负责单位的网站开发维护的工作，对于 WEB 开发我想大家都比较精通，可是对如何编写安全的脚本代码和***者如何通过 WEB 方式对服务器进行***的，可能就不是很清楚了，有不少朋友错误的认为我的服务器有硬件防火墙，而且只开了 80 端口，是不会有网络安全问题的。下面我就向大家介绍几种比较常见的脚本 *** 的方法，让大家从中能够找到安全防护的方法，从而提高服务器的安全性。

　　 1. 简单的脚本***

　　此类***是由于 WEB 程序编写上对特殊字符过滤不严密所造成的，虽说不能对服务器的安全造成严重威胁，可是却可以使***者发布含有 HTML 语句的恶意代码，扰乱网站秩序，从而对网站产生不良影响。下面给大家举个例子：某网站在进行用户注册时，没有对特殊字符进行过滤，就有可能被无聊者利用，假设论坛的管理员 ID 为 :webmaster ，那就有可能有人在注册用户名时注册成 webmaster ，尽管 ID 有区别，可是在页面显示却是一样的，如果无聊者把其他的信息改的和 webmaster 一样，那别人就很难区分这两个 ID 哪个是真的哪个是假的。有不少网站有自己开发的留言板，而且支持提交 HTML 留言，这就给破坏者提供了机会，他们可以写一个自动弹出窗口并打开一个带***的网页的代码，这样别人在浏览这条留言时就有可能被种下***。防范方法很简单，加个过滤函数就可以了：

　　 < %

　　 function SqlCheck(fString)

　　 fString = Replace(fString, "'","")

　　 fString = Replace(fString, " ","")

　　 fString = Replace(fString, ";","")

　　 fString = Replace(fString, "--","")

　　 fString = Replace(fString, ",","")

　　 fString = Replace(fString, "(","")

　　 fString = Replace(fString, ")","")

　　 fString = Replace(fString, "=","")

　　 fString = Replace(fString, "%","")

　　 fString = Replace(fString, "*","")

　　 fString = Replace(fString, "<","")

　　 fString = Replace(fString, ">","")

　　 SqlCheck = fString

　　 end function

　　 % >

　　以上过滤函数中的 String = Replace(fString, "<","") fString = Replace(fString, ">","") 可以去掉语句中的 “<” 和 “>” 符号，使 HTML 代码无法运行。

　　 2. Sql Injection 漏洞***

　　也叫 Sql 注入***，是目前比较常见的一种 WEB ***方法，它利用了通过构造特殊的 SQL 语句，而对数据库进行跨表查询的***，通过这种方式很容易使***者得到一个 WebShell ，然后利用这个 WebShell 做进一步的***，直至得到系统的管理权限，所以这种***方式危害很大。建议大家使用 NBSI ，小榕的 WED+WIS 等注入工具对自己的网站扫描一下，看是否存在此漏洞。还有一种比较特殊的 Sql 注入漏洞，之所以说比较特殊，是因为它是通过构造特殊的 SQL 语句，来欺骗鉴别用户身份代码的，比如***者找到后台管理入口后，在管理员用户名和密码输入 “'or '1'='1'” 、 “'or''='” 、 “') or ('a'='a” 、 “" or "a"="a” 、 “' or 'a'='a” 、 “' or 1=1--” 等这类字符串 ( 不包含引号 ) ，提交，就有可能直接进入后台管理界面，由此也可以看出对特殊字符进行过滤是多么的重要。还有一点要注意，一定不要让别人知道网站的后台管理页面地址，除了因为上面的原因外，这也可以防止***者通过暴力破解后台管理员用户名和密码等方法进入后台管理。这类***的防范方法除了加上面提到的过滤函数外，还要屏蔽网站的错误信息，同时也需要配置好 IIS 的执行权限，以前的杂志也详细介绍过防范方法，在这里不做详细说明。

　　 3. 对整站系统和论坛的***

　　不少网站使用一些比如动易，乔客，动网， BBSXP 等知名度高，功能强大的系统和论坛，由于这些系统的功能强大，所以不可避免的就带来了不小的安全风险。因为可以从网上直接得到这些系统的代码，再加上使用这些系统的网站比较多，所以研究这些系统漏洞的人也就很多，我们也就经常会在网上可以看到某某系统又出最新漏洞的文章，建议大家经常不定期的去这些系统的官方网站下载最新的补丁。

　　本文主要是为了让广大的 WEB 程序开发人员提高安全意识和找到防范***者的方法，目的是通过研究***方法来防范***者的***，希望大家不要利用本文介绍的一些方法用于***，由本文方法造成任何损失，中数博阳不承担任何责任 ~

 

转载于:https://blog.51cto.com/stantic/420473