web开发中必须知道的注意事项

本文档详细列举了Web开发及数据库开发过程中应注意的安全事项,包括输出JSON处理、XSS攻击防范、敏感数据加密等,并提供了实用代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、Web开发注意事项
1 输出JSON问题。
拼接JSON字符串,有些特殊字符需要替换掉源代码:
        public static string ToJson(this string s) {
            StringBuilder sb = new StringBuilder();
            for (int i = 0; i < s.Length; i++) {
                char c = s.ToCharArray()[i];
                switch (c) {
                    case '/"': sb.Append("///""); break;
                    case '//': sb.Append("////"); break;
                    case '/': sb.Append("///"); break;
                    case '/b': sb.Append("//b"); break;
                    case '/f': sb.Append("//f"); break;
                    case '/n': sb.Append("//n"); break;
                    case '/r': sb.Append("//r"); break;
                    case '/t': sb.Append("//t"); break;
                    default: sb.Append(c); break;
                }
            }
            return sb.ToString();
        }
如果未替换这些特殊字符生成的JSON不会被正确解析。
推荐使用NET提供的 JavaScriptSerializer对象生成JSON字符串。
源代码:
        public static string ToJson(this object obj){
            return ToJson(obj, null);
        }
        public static string ToJson(this object obj, IEnumerable<JavaScriptConverter> jsonConverters) {
            JavaScriptSerializer serializer = new JavaScriptSerializer();
            if (jsonConverters != null) serializer.RegisterConverters(jsonConverters ?? new JavaScriptConverter[0]);
            return serializer.Serialize(obj);
        }
2 XXS攻击。
这篇文章很全面: http://ha.ckers.org/xss.html
数据从数据库读出来显示的时候一定要过滤。源代码:
        public static string UnHtml(this string htmlStr) {
            if (string.IsNullOrEmpty(htmlStr)) return string.Empty;
            return htmlStr.Replace("/"", "///"").ShowXmlHtml().Replace(" ", "&nbsp;").Replace("/n", "<br />");
        }
        public static string ShowXmlHtml(this string htmlStr) {
            if (string.IsNullOrEmpty(htmlStr)) return string.Empty;
            string str = htmlStr.Replace("&", "&amp;").Replace(">", "&gt;").Replace("<", "&lt;");
            return str;
        }
存在此漏洞别人可挂马/记录键盘操作,并发送到指定的信箱/可弹广告/==。
3 Cookie/Session/ViewState数据存放需要加密。
代码请参考:
C#.NET COOKIE操作 KEY使用MD5加密,Value使用AES加密
C#.Net Session操作 Key使用MD5加密,Value使用DES加密
C#.NET 加密解密:AES/DES/Base64/RSA/MD5/SHA256
4 上传图片漏洞。
这种漏洞的主要解决办法是:让图片目录无执行权限。
将图片目录放在非站点下。建一个独立站点指向图片目录。
IIS7处理程序映射:
IIS6需要设置:只读和无执行权限。禁用所有Web服务扩展。
5备份文件时的小漏洞,备份重要文件时扩展名不要使用.bak/.txt之类的,防止别人下载。备份文件请不要上传到服务器。
6 登录漏洞
验证用户是否登录最好的作法是,先按登录名,从数据库查询到用户的ID和密码。在代码里比较登录密码是否正确。不要直接查询用户名和密码在表里是否存在。
7防止页面被另存为
HTML代码里加:<NOSCRIPT><IFRAME SRC="*.html"></IFRAME></NOSCRIPT>
8 防止页面被内嵌到别人的网站
HTML代码里加:<script>if (self != top) { top.location = self.location; }</script>
9 防止从本地提交数据
在POST/GET数据的时候,我们需要验证页面的referrer。如果referrer非本地的域名不让访问。这样可防止从其它站点或本地提交数据。
10前台JS验证数据,提交到程序里也需要验证数据。做双保险才安全。
11 防无限刷新
数据提交的时候让按钮变灰不让再次单击。
提交成功后,用JS提示操作成功,并转向新页面。这样做每次对方刷新都要点确定按钮。可以减少刷新次数。
12防无限提交数据/防ajax自动提交数据
加入验证码和提交时间(如一分种发信息)限制功能。
二、数据库开发注意事项
1 删除sa用户,新建一个权限为sa的用户,用户名和密码一样要复杂。以防暴力破解。新建一个web连接用户,去掉所有服务器角色,在用户映射中加入此用户要操作的数据库db_owner和db_public身份。如果需要其它操作要另加权限(如只加insert/delete/select/update)
2防SQL注入
存在SQL注入很严重。db_public身份一样能对数据库表有添加/修改/删除权限。
推荐使用 Parameter传值,不要使用字符串拼接。
如果需要拼接需要过滤一些特殊字符,代码如下:
        public static string SafeSql(this string str) {
            str = str.IsNullOrEmpty() ? "" : str.Replace("'", "''");
            str = new Regex("exec", RegexOptions.IgnoreCase).Replace(str, "&#101;xec");
            str = new Regex("xp_cmdshell", RegexOptions.IgnoreCase).Replace(str, "&#120;p_cmdshell");
            str = new Regex("select", RegexOptions.IgnoreCase).Replace(str, "&#115;elect");
            str = new Regex("insert", RegexOptions.IgnoreCase).Replace(str, "&#105;nsert");
            str = new Regex("update", RegexOptions.IgnoreCase).Replace(str, "&#117;pdate");
            str = new Regex("delete", RegexOptions.IgnoreCase).Replace(str, "&#100;elete");
 
            str = new Regex("drop", RegexOptions.IgnoreCase).Replace(str, "&#100;rop");
            str = new Regex("create", RegexOptions.IgnoreCase).Replace(str, "&#99;reate");
            str = new Regex("rename", RegexOptions.IgnoreCase).Replace(str, "&#114;ename");
            str = new Regex("truncate", RegexOptions.IgnoreCase).Replace(str, "&#116;runcate");
            str = new Regex("alter", RegexOptions.IgnoreCase).Replace(str, "&#97;lter");
            str = new Regex("exists", RegexOptions.IgnoreCase).Replace(str, "&#101;xists");
            str = new Regex("master.", RegexOptions.IgnoreCase).Replace(str, "&#109;aster.");
            str = new Regex("restore", RegexOptions.IgnoreCase).Replace(str, "&#114;estore");
            return str;
        }
要使用 sp_executesql不要使用 exec
3 select / insert / delete / update操作时需要注意:
当前用户只能查看,添加,删除,更新自己的数据。在操作的时候一定要判断是不是指定的用户可以操作。有很多新人写程序的时候没有做过处理,会出现当前用户可以删除别人的数据。
删除我的博文ID=1的SQL代码:delete from blog where blogID=1这样是有问题的,应该这么写:delete from blog where blogID=1 and userid=当前登录的用户ID。同样查询,修改,更新也存在这样的问题。
三、自我测试需要注意
1 想象每一个函数/方法调用尽可能存在的情况。
2测试所有按钮/链接/图片是否可点,链接地址是否正确,是否存在无效链接。
3 每一个可输入控件都要输入特殊字符去测试。每一个URL参数都要输入特殊字符去测试。
特殊字符:
or 1=1
or 1=2
<script>alert(1)</script>
''%' or 1=1;--
/r/n
/n
4 界面是否美观/颜色是否刺眼/哪里可以改进。
5 提交数据是否可刷新多次提交。多次快速连续点击保存,保存按钮是否可用,是否已多次提交数据。
6 是否可查看,修改,删除,更新别人的个人资料或私密信息。
7是否可被内嵌/是否可被另存为/是否有登录漏洞/是否可本地提交数据/程序是否验证数据的格式、安全性和恶意性
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值