天书夜读

1.弱口令漏洞 解决方案：最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码，应存储MD5加密后的密文，由于目前普通的MD5加密已经可以被破解，最好可以多重MD5加密。 2.未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案：通过配置filter来过滤掉无效用户的连接请求。 3．JSP页面抛出的异常可能暴露程序信息。有经验的入侵者，可以从JSP程序的

开发的安全标准，总结如下。       1.绝对绝对绝对要采用预处理的方式来进行sql操作，如果实在需要做sql语句的拼接，那么请做输入信息的过滤。selet,update,delete,insert,and,%,',_,这些都屏蔽了吧。       2.一般的sql注入都是从网站的前台网页寻找漏洞，建议针对前台操作和后台操作分别建立数据库操作用户。前台的用户只赋予实际需要的基本权限。后台用户

web开发应用程序(网站)，是目前应用最广泛的程序。但是开发者的水平参差不齐，导致了各种各样web漏洞的出现。本文站在分层架构的角度，分析一下如何在java web程序中找到可能出现的种种漏洞。 　　本文讨论的只是web程序上的漏洞，和其它漏洞，是相对独立的。这句话看似废话，实际上却说明了时常被忽略的因素，即：“很多人认为只要我开发web程序没有漏洞，web服务器就安全了”，事实上，并非如此。一