WEB应用数据验证指南

最新推荐文章于 2023-03-06 15:23:47 发布
最新推荐文章于 2023-03-06 15:23:47 发布
阅读量173 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 网站性能优化及工具 文章标签: Web SQL 脚本 Apache Blog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iteye_8381/article/details/81758760
1 .为什么要验证数据?
如果不验证数据,容易导致 WEB 应用出现多种漏洞,比如: SQL 注入攻击,命令注入攻击,跨站点脚本攻击,编码攻击,文件系统攻击和缓冲区溢出。因此,为了保护 WEB 应用的安全,我们必须验证数据。
2 .什么地方需要验证数据?
 所有从用户或其它设备接受数据的代码部分。
3 .什么数据需要验证?
HTTP 头部, cookies,session ,查询字符串,表格字段,和隐藏字段等。
4 .怎样验证数据?
4.1 验证策略
按顺序选择使用下面的四种策略:
n   接受正确的数据:如果知道某个数据的所有特点,就可以只接受具有所有这些 特点的数据。比如对手机号码的验证就可以使用本方法。
n   拒绝错误的数据:如果知道具有某些特点的数据是错误的,就可以明确拒绝具 有这些特点的数据。
n   规范化数据: 对数据进行分析,去掉有问题的部分,并进行适当的修改和 转换,从而将其转化为正确的数据。
n   不作验证数据:   万不得已才不验证数据。
4.2 验证方法
n   检查数据类型 ;
n   检查字符型数据的长度范围 ;
n   检查数值型数据的大小范围 ;
n   验证数据来源进行 , 防止跨站攻击 也可以在 APACHE 配置文件里面做 );
n   过滤掉下面的特殊字符或为其编码:
Character
Encoding
<
&lt;    or &#60;
>
&gt;    or &#62;
&
&amp;   or &#38;
"
&quot; or &#34;
'
&#39;
(
&#40;
)
&#41;
#
&#35;
%
&#37;
 ;
&#59;
+
&#43;
-
&#45;
 
n   尽可能使用存储过程操作后台数据库 ;
n   在生成 SQL 语句的地方:
Ø   过滤掉输入变量中的双引号和单引号 ;
Ø   过滤常用 sql 关键字;
Ø   对于数值型字段变量,验证其值确实是数字;
n   适当使用图片验证;
n   验证数据操作的权限;

转自 : http://zoukejian.blog.51cto.com/131276/57886
数据验证web前端,表单】
da宗熊专栏
07-17 4538
数据验证最近做后台比较多,路七八糟的数据验证,弄得不厌其烦。SO,弄了个表单验证的玩意出来,达到快速,简介,不烦人的验证。下面看看,几种方式的数据验证,有什么不同。
Web应用程序安全设计指南
02-27
本页内容本模块内容目标适用范围如何使用本模块Web应用程序的体系结构设计问题部署考虑输入验证身份验证授权配置管理敏感数据会话管理加密参数操作异常管理审核记录设计指南小结总结其他资源本模块内容Web应用...
JAVA Spring web mvc 学习 之 6:数据验证
yangyinet的专栏
09-23 266
1.采用Spring验证类进行验证 a.定义实现 spring Validator接口的类 b.调用validate方法进行验证即刻。验证是,验证存在结果Error 中 ---------------------------------------------- 2.使用JSR303进行验证 a.主要使用hibernate中的验证 b.在实体模型类中,使用注解方式进行。 c.在控制器中,使用@Valid注解标示需要进行验证的实体
常见部分漏洞原理以及解决方法
weixin_47267061的博客
03-06 1176
web安全------部分常见漏洞原理以及防御方法
web简易数字型验证码实现(超简单)
Alphamilk的博客
12-09 1774
通过jscss简单实现数字验证码的实现(适合新手)
网络安全SQL注入原理与防御方法详解:Web应用安全防护指南
04-10
防御方法主要包括使用参数化查询、输入验证与过滤、ORM框架、最小权限原则、错误处理以及Web应用防火墙(WAF)。最后,文中提供了检测SQL注入的工具,如SQLMap、Burp SuiteOWASP ZAP,并通过对比安全不安全代码...
【Python编程语言】多领域应用与跨平台安装指南:涵盖Web开发、数据科学、自动化等实用场景
最新发布
05-20
内容概要:本文详细介绍了 Python 编程语言及其广泛应用领域,涵盖网络开发、数据科学与机器学习、科学计算与工程、自动化脚本编写、游戏开发以及 Web 爬虫等多个方面。Python 因其简洁的语法、丰富的库活跃的...
WEB之困-现代WEB应用安全指南
01-05
WEB之困-现代WEB应用安全指南》是一本深度探讨现代WEB应用安全问题的专业书籍,旨在帮助开发者安全专家理解并解决在构建维护WEB应用过程中可能遇到的安全挑战。本书全面覆盖了WEB应用安全的各个层面,从基础的...
Java Web常用的数据验证
geforce
11-22 419
常用的数据验证 //Bean Validation 中内置的 constraint @Null(message = "必须为空") @NotNull(message = "必须不为空") @AssertTrue(message = "必须为True") @AssertFalse(message = "必须为False") @Min(value = 3,message = "最小是3") @Max(value = 3,message = "最大是3") @DecimalMin(value = "3",mess
在struts2里,完成登录页面,使用validate对输入数据进行校验,用户名必填,密码必填且长度大于6
05-17
在struts2里,完成登录页面,使用validate对输入数据进行校验,用户名必填,密码必填且长度大于6。
页面数据校验类--很不错的喔.一直在用.
Welcome to Chandler.C's blog
01-12 1489
using System;using System.Text;using System.Web;using System.Web.UI.WebControls;using System.Text.RegularExpressions;namespace zcl{ ///  /// 页面数据校验类 /// Chandler /// 2006.1 ///  public class PageValid
web页面数据验证提醒方式
weixin_30871905的博客
07-25 381
虽然现在MVC比较热, 但是使用Web Form方式进行开发的项目应该还有很多,这就少不了使用验证控件,但是验证控件在验证不通过时,提醒的方式很简单,不够友好。如果页面布局是流布局方式,很容易因为显示出来的错误信息造成布局混乱。AjaxControlToolkit的ValidatorCallout虽然可以很好,但是需要为每一个验证控件要再加多一个控件, 在实际使用中太麻烦了,于是分析了Valida...
【SpringBoot web-1】web项目数据校验
云深不知处
08-16 1万+
SpringBoot开发基础web项目(三)数据校验 数据校验 在web开发中,数据校验是非常重要的,后端程序必须通过严格的校验来确保前端传入或者数据层获取的各项参数从语义上来讲是正确的。 JSR 是一个规范文档,指定了一整套 API,通过标注给对象属性添加约束。而Hibernate Validator 是 JSR 规范的具体实现,Hibernate Validator 提供了 JSR 规范中所有...
Web应用数据校验
weixin_34227447的博客
03-15 395
对于Web应用数据校验有两种方式 (1)服务器端的校验:把信息发送到服务器端,服务器端收到信息后,进行相应的处 理,处理之后,把结果告诉我们,跳转到不同的视图; (2)客户端的校验:不会把信息发送到服务器端,在客户端通过脚本语言进行校验; 一个健壮的Web应用,服务器端的校验是必须的,因为有些恶意客户可能会尝试跳 过我们的页面直接向服务器端发送请求,例如:某些客...
常见web漏洞及防范(转)
热门推荐
hackerie的博客
01-22 1万+
单个漏洞,需要进行排查与整改,借着别人的智慧,做一个简单的收集。最好能够将常见漏洞,不限于web类的,进行一个统一的整理。这是今年的任务。 进行漏洞的工具的收集,为未来的工作做好基础。。。 一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的S...
web应用开发,客户端提交的参数如何进行校验
xzb5566的专栏
05-08 436
一、数据校验的必要性 一般服务端针对客户端提交上来的数据,进行校验都是自己手写校验规则,比如参数不能为空,字符长度不能超过多少,必须为数字,不能小于0 等等规则,但是千篇一律写重复的校验代码,估计你也累了,市面上早就有人想到了这个问题,也做了相应的工作——接口,实现。 接口: validation-api 实现: hibernate-validator validation-api —— JSR303 规范定义的 hibernate-validator —— 是validation-api的具...
关于Web 验证方法你知道几种
zjjcchina的博客
12-08 2547
身份验证(Authentication)是具备权限的系统验证尝试访问系统的用户或设备所用凭据的过程。相比之下,授权(Authorization)是给定系统验证是否允许用户或设备在系统上执行某些任务的过程。 简单地说: 身份验证:你是谁? 授权:你能做什么? 身份验证先于授权。也就是说,用户必须先处于合法状态,然后才能根据其授权级别被授予对资源的访问权限。验证用户身份的最常见方法是用户名密码的组合。用户通过身份验证后,系统将为他们分配不同的角色,例如管理员、主持人等,从而为他们授予一些
Apache Velocity Web应用开发中文实战指南
"应用安全性"章节着重讨论了如何通过Velocity保护Web应用免受潜在的安全威胁,包括输入验证安全配置。 "日志文件"部分介绍了如何记录监控Velocity的运行日志,以便于调试性能优化。 "部署指南"则提供了关于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值