網(wǎng)站開發(fā)應(yīng)該注意些什么？web開發(fā)注意事項(xiàng)！

發(fā)表日期：2010-08-13 文章編輯：王東瀏覽次數(shù)：36 標(biāo)簽：

輸出JSON問題。拼接JSON字符串，有些特殊字符需要替換掉源代碼：如果未替換這些特殊字符生成的JSON不會(huì)被正確解析。推薦使用NET提供的JavaScriptSerializer對象生成JSON字符串。

一、Web開發(fā)注意事項(xiàng)

l 輸出JSON問題。

拼接JSON字符串，有些特殊字符需要替換掉源代碼：

public static string ToJson(this string s) {

StringBuilder sb = new StringBuilder();

for (int i = 0; i < s.Length; i++) {

char c = s.ToCharArray()[i];

switch (c) {

case '\"': sb.Append("\\\""); break;

case '\\': sb.Append("\\\\"); break;

case '/': sb.Append("\\/"); break;

case '\b': sb.Append("\\b"); break;

case '\f': sb.Append("\\f"); break;

case '\n': sb.Append("\\n"); break;

case '\r': sb.Append("\\r"); break;

case '\t': sb.Append("\\t"); break;

default: sb.Append(c); break;

}

return sb.ToString();

}

如果未替換這些特殊字符生成的JSON不會(huì)被正確解析。

推薦使用NET提供的JavaScriptSerializer對象生成JSON字符串。

源代碼：

public static string ToJson(this object obj){

return ToJson(obj, null);

}

public static string ToJson(this object obj, IEnumerable<JavaScriptConverter> jsonConverters) {

JavaScriptSerializer serializer = new JavaScriptSerializer();

if (jsonConverters != null) serializer.RegisterConverters(jsonConverters ?? new JavaScriptConverter[0]);

return serializer.Serialize(obj);

}

l XXS攻擊。

這篇文章很全面：http://ha.ckers.org/xss.html

數(shù)據(jù)從數(shù)據(jù)庫讀出來顯示的時(shí)候一定要過濾。源代碼：

public static string UnHtml(this string htmlStr) {

if (string.IsNullOrEmpty(htmlStr)) return string.Empty;

return htmlStr.Replace("\"", "\\\"").ShowXmlHtml().Replace(" ", " ").Replace("\n", "<br />");

}

public static string ShowXmlHtml(this string htmlStr) {

if (string.IsNullOrEmpty(htmlStr)) return string.Empty;

string str = htmlStr.Replace("&", "&").Replace(">", ">").Replace("<", "<");

return str;

}

存在此漏洞別人可掛馬/記錄鍵盤操作，并發(fā)送到指定的信箱/可彈廣告/==。

l Cookie/Session/ViewState數(shù)據(jù)存放需要加密。

代碼請參考：

C#.NET COOKIE操作 KEY使用MD5加密，Value使用AES加密

http://www.cnblogs.com/livexy/archive/2010/07/05/1771286.html

C#.Net Session操作 Key使用MD5加密，Value使用DES加密

http://www.cnblogs.com/livexy/archive/2010/07/05/1771288.html

C#.NET 加密解密：AES/DES/Base64/RSA/MD5/SHA256

http://www.cnblogs.com/livexy/archive/2010/07/05/1771285.html

l 上傳圖片漏洞。

這種漏洞的主要解決辦法是：讓圖片目錄無執(zhí)行權(quán)限。

將圖片目錄放在非站點(diǎn)下。建一個(gè)獨(dú)立站點(diǎn)指向圖片目錄。

IIS7處理程序映射：

IIS6需要設(shè)置：只讀和無執(zhí)行權(quán)限。禁用所有Web服務(wù)擴(kuò)展。

l 備份文件時(shí)的小漏洞，備份重要文件時(shí)擴(kuò)展名不要使用.bak/.txt之類的，防止別人下載。備份文件請不要上傳到服務(wù)器。

l 登錄漏洞

驗(yàn)證用戶是否登錄最好的作法是，先按登錄名，從數(shù)據(jù)庫查詢到用戶的ID和密碼。在代碼里比較登錄密碼是否正確。不要直接查詢用戶名和密碼在表里是否存在。

l 防止頁面被另存為

HTML代碼里加：<NOSCRIPT><IFRAME SRC="*.html"></IFRAME></NOSCRIPT>

l 防止頁面被內(nèi)嵌到別人的網(wǎng)站

HTML代碼里加：<script>if (self != top) { top.location = self.location; }</script>

l 防止從本地提交數(shù)據(jù)

在POST/GET數(shù)據(jù)的時(shí)候，我們需要驗(yàn)證頁面的referrer。如果referrer非本地的域名不讓訪問。這樣可防止從其它站點(diǎn)或本地提交數(shù)據(jù)。

l 前臺(tái)JS驗(yàn)證數(shù)據(jù)，提交到程序里也需要驗(yàn)證數(shù)據(jù)。做雙保險(xiǎn)才安全。

l 防無限刷新

數(shù)據(jù)提交的時(shí)候讓按鈕變灰不讓再次單擊。

提交成功后，用JS提示操作成功，并轉(zhuǎn)向新頁面。這樣做每次對方刷新都要點(diǎn)確定按鈕。可以減少刷新次數(shù)。

l 防無限提交數(shù)據(jù)/防ajax自動(dòng)提交數(shù)據(jù)

加入驗(yàn)證碼和提交時(shí)間（如一分種發(fā)信息）限制功能。

二、數(shù)據(jù)庫開發(fā)注意事項(xiàng)

l 刪除sa用戶，新建一個(gè)權(quán)限為sa的用戶，用戶名和密碼一樣要復(fù)雜。以防暴力破解。新建一個(gè)web連接用戶，去掉所有服務(wù)器角色，在用戶映射中加入此用戶要操作的數(shù)據(jù)庫db_owner和db_public身份。如果需要其它操作要另加權(quán)限（如只加insert/delete/select/update）。

l 防SQL注入

存在SQL注入很嚴(yán)重。db_public身份一樣能對數(shù)據(jù)庫表有添加/修改/刪除權(quán)限。

推薦使用Parameter傳值，不要使用字符串拼接。

如果需要拼接需要過濾一些特殊字符，代碼如下：

public static string SafeSql(this string str) {

str = str.IsNullOrEmpty() ? "" : str.Replace("'", "''");

str = new Regex("exec", RegexOptions.IgnoreCase).Replace(str, "exec");

str = new Regex("xp_cmdshell", RegexOptions.IgnoreCase).Replace(str, "xp_cmdshell");

str = new Regex("select", RegexOptions.IgnoreCase).Replace(str, "select");

str = new Regex("insert", RegexOptions.IgnoreCase).Replace(str, "insert");

str = new Regex("update", RegexOptions.IgnoreCase).Replace(str, "update");

str = new Regex("delete", RegexOptions.IgnoreCase).Replace(str, "delete");

str = new Regex("drop", RegexOptions.IgnoreCase).Replace(str, "drop");

str = new Regex("create", RegexOptions.IgnoreCase).Replace(str, "create");

str = new Regex("rename", RegexOptions.IgnoreCase).Replace(str, "rename");

str = new Regex("truncate", RegexOptions.IgnoreCase).Replace(str, "truncate");

str = new Regex("alter", RegexOptions.IgnoreCase).Replace(str, "alter");

str = new Regex("exists", RegexOptions.IgnoreCase).Replace(str, "exists");

str = new Regex("master.", RegexOptions.IgnoreCase).Replace(str, "master.");

str = new Regex("restore", RegexOptions.IgnoreCase).Replace(str, "restore");

return str;

}

要使用sp_executesql不要使用：exec

l select/insert/delete/update操作時(shí)需要注意：

當(dāng)前用戶只能查看，添加，刪除，更新自己的數(shù)據(jù)。在操作的時(shí)候一定要判斷是不是指定的用戶可以操作。有很多新人寫程序的時(shí)候沒有做過處理，會(huì)出現(xiàn)當(dāng)前用戶可以刪除別人的數(shù)據(jù)。

刪除我的博文ID=1的SQL代碼：delete from blog where blogID=1這樣是有問題的，應(yīng)該這么寫：delete from blog where blogID=1 and userid=當(dāng)前登錄的用戶ID。同樣查詢，修改，更新也存在這樣的問題。

三、自我測試需要注意

l 想象每一個(gè)函數(shù)/方法調(diào)用盡可能存在的情況。

l 測試所有按鈕/鏈接/圖片是否可點(diǎn)，鏈接地址是否正確，是否存在無效鏈接。

l 每一個(gè)可輸入控件都要輸入特殊字符去測試。每一個(gè)URL參數(shù)都要輸入特殊字符去測試。

特殊字符：

‘

“

or 1=1

or 1=2

''%' or 1=1;--

\r\n

l 界面是否美觀/顏色是否刺眼/哪里可以改進(jìn)。

l 提交數(shù)據(jù)是否可刷新多次提交。多次快速連續(xù)點(diǎn)擊保存，保存按鈕是否可用，是否已多次提交數(shù)據(jù)。

l 是否可查看，修改，刪除，更新別人的個(gè)人資料或私密信息。

l 是否可被內(nèi)嵌/是否可被另存為/是否有登錄漏洞/是否可本地提交數(shù)據(jù)/程序是否驗(yàn)證數(shù)據(jù)的格式、安全性和惡意性

重慶中技互聯(lián)網(wǎng)信息資訊有限公司
重慶網(wǎng)站建設(shè)事業(yè)部官方網(wǎng)：www.tmsmall666.cn
電子商務(wù)建站事業(yè)部咨詢電話：023-67742189
門戶網(wǎng)站品牌加盟推廣電話：023-67742189
7*24小時(shí)服務(wù)電話：023-67742189
媒體合作電話：13883323406
投資合作電話：13896068183
QQ及郵件地址：446515345@qq.com

如沒特殊注明，文章均為中技互聯(lián)原創(chuàng),轉(zhuǎn)載請注明來自www.tmsmall666.cn