网站建设之程序安全篇
发布时间:2015-07-01 16:11  已被人阅读    分享到:
网站建设之程序安全篇
 
典享网络专业从事上海网站建设,上海网站设计,上海网站推广,上海网站制作,上海网站改版,上海网站运营,上海微信代运营,网站建设,微信运营,网站托管,网站SEO多年。我们不断总结最新的建站及其seo方法,对此我们总结出很多心得。
 
网站建设程序的安全是系统开发人员必须考虑的重要因数之一,因为这涉及到网站的建设者、网站用户的诸多安全问题,如果不处理好,可能会给系统的使用者和管理者带来严重问题。同时Web应用程序的安全解决方案不仅是技术问题,还涉及到管理等多个方面。但本文仅从四个最常见的、基本的、可通用的方面加以介绍,并对每个安全问题从:为什么、怎样解决、怎样检测三个层次以自问自答的方式加以通俗易懂的介绍。
 
1,数据备份技术
 
为什么必须使用数据备份?
 
当网站被黑 客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
怎样使用数据备份?
 
一般人认为数据备份就只是数据库的备份,其实还有动态变化的图片、文件等也需要备份,因为文件、图片一般我们是不写入数据库里保存的。
 
一般我们采用数据库系统自动定时备份、定时自动删除几天以前的数据等,即可完成数据的备份功能。而图片、文件一般是不能自动备份,需要手工操作,所以我们必须要定期手工对网站的图片、文件进行备份操作。
 
怎样测试数据已经备份?
 
对于已经做好的网站,数据库系统都会自动备份到服务器某个文件夹下,那么测试时我们就需要让程序开发人员提供可以下载数据备份文件的路径,即可知道是否已经做了自动备份功能,而自动备份间隔时间的确定,需要根据网站的更新频率来决定。
 
2,密码加密技术
 
为什么必须使用密码加密?
 
没有经过MD5加密的密码直接显示在数据库表中,如果被黑 客下载数据,查出数据库中的密码,或者内部开发人员通过数据库查出用户的密码,都对以后用户的信息安全造成很大的影响。如果使用MD5加密后的密码,在数据库中看到的是一连串经过加密的字符串,不能看到真正的密码,这样能更好地保护网站的安全。虽然黑 客也可以使用暴力破解,但是我们再结合生成图片验证码技术,那暴力破解的难度就将大大增强。
 
怎样使用MD5加密技术?
 
MD5的全称是Message-Digest Algorithm 5,当用户登录的时候,系统把用户输入的密码计算成MD5值,然后再去和保存在文件系统中的MD5值进行比较,进而确定输入的密码是否正确。通过这样的步骤,系统在并不知道用户密码的明码的情况下就可以确定用户登录系统的合法性。这不但可以避免用户的密码被 具有系统管理员权限的用户知道,而且还在一定程度上增加了密码被破解的难度。
 
怎样测试密码已经加密?
 
凡是经过加密的密码,系统功能上多半有找回密码的功能,这是表面的测试,测试人员可以调用开发人员的数据表,查询是否经过加密,从而保证系统密码的安全,一般对具有大量会员的商业性网站必须使用。
 
3,防止SQL注入技术
 
为什么必须防止SQL注入?
 
相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上的网站扫描,就能发现部分网站存在SQL注入漏洞,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。
 
怎样防止SQL注入?
 
比如URL、表单等提交信息时,通过一段防止SQL注入的过滤代码即可防止出错信息暴露,或者通过转向,当系统出错时转到一个提示出错的页面等。同时服务器权限设置是一个非常重要的方面,由于涉及到服务器的配置比较多,本文不介绍。
本文分享地址:/news/3/2390.html上海网站建设,上海网站制作,上海建站公司,网络运营推广,微信代运营|典享网络典享NET编辑,转发请注明来源及版权归属。
上一篇:网站建设中网站内容和网站框架的著作权问题 【关闭】
下一篇:网站建设误区一:网站运营崇尚技术