使用ASP开发网页需要牢记的9个注意事项

2019-05-16 23:37:36 IT时代网 分享

抓图网 www.jsntrg.cn   1、永远不要相信用户输入的内容具有适当的大小或者包含适当的字符。在使用其做出决策之前应该始终对用户输入进行验证。最佳的选择是创建一个 COM+ 组件,这样您可以从 ASP 页面中调用该组件来验证用户的输入内容。您也可以使用 Server.HTMLEncode 方法、Server.URLEncode 方法,或者本页底部代码示例中的某一个。

  2、不要通过连接用户输入的字符串来创建 ASP 页中的数据库连接字符串。恶意用户可以通过在他们的输入内容中插入代码来获取数据库的访问权限。如果您使用的是 SQL 数据库,那么请使用存储过程创建数据库连接字符串。

  3、不要使用默认的 SQL 管理员帐户名 sa。每个使用 SQL 的用户都知道存在 sa 帐户。创建具有安全可靠密码的其他 SQL 管理帐户,并删除 sa 帐户。

  4、在您存储客户端用户密码之前,请对这些密码使用哈希算法、进行 base64 编码,或者使用 Server.HTMLEncode 或者 Server.URLEncode 进行编码。您还可以使用本页底部的某个代码示例验证客户端密码中的字符。

  5、不要把管理帐户名或密码放置在管理脚本或 ASP 页中。

  6、不要根据请求标题在代码中做出决策,因为标题数据可以被恶意用户伪造。在使用请求数据前,始终要对其进行编码或者使用下面的代码示例验证其所包含的字符。

  7、不要将安全数据存储在 Cookie 中或者将输入字段隐藏在网页中。

  始终将安全套接字层 (SSL) 用于基于会话的应用程序,以避免未对会话 Cookie 进行加密就发送它们所带来的风险。如果会话 Cookie 没有经过加密,则恶意用户可以使用一个应用程序中的会话 Cookie 进入到与之在同一进程中的另一个应用程序。

  8、当编写 ISAPI 应用程序、筛选器或者 COM+ 对象时,请注意由于变量和数据的大小而造成的缓冲区溢出?;挂⒁饪赡苡捎诮馐驮斐傻墓娣痘侍?,例如将绝对路径名解释成相对路径名或 URL。

  9、当在单线程单元 (STA) 内运行的 ASP 应用程序切换到多线程单元 (MTA) 内时,模拟令牌将过时。这可能导致应用程序在无模拟的情况下运行,让其用可能允许访问其他资源的进程的标识有效地运行。如果您必须切换线程模型,请在进行更改之前,先禁用该应用程序并将其卸载。

代码示例

  本代码示例包含了一个函数,它可删除发送至该函数的字符串中的可能有害的字符。在上面的两个示例中,指定代码页以确保正确地编码。下面的示例使用的是 Microsoft Visual Basic® Scripting Edition(VBScript):

声明:本站部分资源来源于网络,版权归原作者或者来源机构所有,如作者或来源机构不同意本站转载采用,请通知我们,我们将第一时间删除内容。本站刊载文章出于传递更多信息之目的,所刊文章观点仅代表作者本人观点,并不意味着本站赞同作者观点或证实其描述,其原创性及对文章内容的真实性、完整性、及时性本站亦不作任何保证或承诺,请读者仅作参考。
编辑:星天
汕头代孕 | 上海助孕包生男孩 | 广州最好的代生孩子中介 | 代孕公司哪家最好 | 广州高鹰助孕生殖医学中心 | 高鹰代孕 | 旺旺宝贝代怀孕网 | 好文网 | 薰衣草潮流网 | 公共云小游戏 | 佛山新闻资讯网 | 伊家亲助孕网 |
  • 云南澜沧:“爱心图书室”为孩子们送温暖
  • 国家医保局:骗保事件性质恶劣 要坚决打掉、决不手软
  • 2019年首月上海吸引外资实现“开门红”
  • “双节”期间拉萨市天气条件总体较好
  • 点校本“二十四史”修订工程再结新成果
  • 中国纪检监察报评论员文章:准确把握新时代巡视工作责任使命
  • 忘恩负义!英男子免费咖啡馆里偷走店员电脑
  • 推动安庆市首位产业“首位发展”
  • 蒙华铁路全线最长隧道贯通
  • 湖南省岳阳市岳阳楼区检察院面向全国选调检察官公告
  • 保山市推进外国人来华工作许可证办理
  • 把脉媒体融合,这个论坛传出啥信号?
  • 调查显示:“工时长、薪资低”导致台湾出现节后转职潮
  • 北师大什邡附小举办教师校内赛课活动
  • 北京海淀法院发布典型案例 警惕熟人对青少年犯罪