一旦重慶網站(zhàn)建設中的存在安全缺陷，就會(huì)使得(de)重慶網站(zhàn)設計(jì)的安全性能大(dà)大(dà)降低(dī)，制(zhì)約着企業電(diàn)子商務技(jì)術(shù)的發展。重慶網站(zhàn)設計(jì)存在的安全缺陷主要有(yǒu)登陸驗證缺陷、逃避驗證缺陷、桌面數(shù)據庫被下載的安全缺陷、文件上(shàng)傳存在的安全缺陷。

　　1 逃避驗證存在的安全問題

　　如果用戶知道(dào)網頁的文件名或者是路徑，就會(huì)出現逃避驗證現象，使網站(zhàn)的安全性下降。一旦網頁沒有(yǒu)用戶的登錄限制(zhì)，用戶在網頁中直接輸入網頁的文件名，不用進行(xíng)登錄驗證，就可(kě)以讀取網站(zhàn)內(nèi)容，這對網站(zhàn)的安全是嚴重的威脅。所以，為(wèi)了有(yǒu)效避免這個(gè)問題，需要網頁設計(jì)人(rén)員加強網頁信息的保密工作(zuò)，提高(gāo)網站(zhàn)信息的安全性。此外，對一些(xiē)重要的網站(zhàn)內(nèi)容加強用戶身份驗證限制(zhì)，這樣所有(yǒu)的用戶在登錄相關頁面時(shí)，都必須進行(xíng)身份驗證工作(zuò)，驗證通(tōng)過之後，才能使用裏面的相關信息，這樣會(huì)大(dà)大(dà)提高(gāo)站(zhàn)點的數(shù)據安全性。

　　2桌面數(shù)據庫被下載的安全漏洞

　　桌面數(shù)據庫被下載的安全漏洞主要是ASP+ Access 應用系統中的問題。通(tōng)常情況下，用戶都可(kě)以通(tōng)過網站(zhàn)下載相關的信息，但(dàn)是如果知道(dào) Access 數(shù)據庫名稱及存儲路徑，就可(kě)以任意下載數(shù)據庫中的信息，從而導緻數(shù)據庫中的機密信息洩露。比如，圖書(shū)館系統中的 Access 數(shù)據庫其名稱和(hé)存儲路徑一般為(wèi) Library.mdb 和(hé) URL/database。此時(shí)，隻要在 WEB 浏覽器(qì)的地址欄中鍵入URL/database/Library.mdb，就 能 将 Library.mdb 數(shù)據庫下載到本地計(jì)算(suàn)機中。

　　所以，為(wèi)了有(yǒu)效避免上(shàng)述問題，在設計(jì)ASP 程序時(shí)，數(shù)據源要盡量使用 ODBC 數(shù)據源，這樣數(shù)據庫名稱就不會(huì)被直接寫入程序中，避免出現 ASP 源代碼和(hé)數(shù)據庫名稱一起失密的現象。此外，還(hái)要對頁面進行(xíng)加密處理(lǐ)，這樣可(kě)以有(yǒu)效提高(gāo)數(shù)據庫系統信息的安全性，避免數(shù)據庫內(nèi)部資料被竊取。ASP 頁面的加密主要有(yǒu)兩種方法 ：是，應用組件技(jì)術(shù)将編程邏輯封裝在 DLL中 ;二是，應用 Script Encoder 加密 ASP 頁面。通(tōng)常情況下都會(huì)采取第二種方法對ASP 頁面進行(xíng)加密，因為(wèi)使用第一種方法對 ASP 頁面進行(xíng)加密時(shí)，需要将每段代碼組件化，工作(zuò)量特别大(dà)，并且操作(zuò)十分繁瑣。采用 Script Encoder 方法加密 ASP 頁面時(shí)，其操作(zuò)比較簡單，編輯性強，具有(yǒu)以下四方面的優勢 ：

　　(1)HTML 具有(yǒu)良好的可(kě)編輯性，使用Script Encoder 加密 ASP 頁面時(shí)，隻需将ASP 代碼嵌入到 HTML 頁面中，故仍可(kě)以使用常用網頁編輯工具如 Dream weaver等實現 HTML 部分的完善，但(dàn)是 ASP 加密部分不能任意更改，否則将會(huì)對文件造成破壞，導緻其失效 ;(2) 可(kě)以加密當前目錄中的所有(yǒu) ASP 文件，加密後并将其統一輸出指定目錄中 ;(3) 應用 Script Encoder加密 ASP 頁面的操作(zuò)十分簡單。(4)cript Encoder 加密軟件是免費網件，可(kě)以從網站(zhàn)上(shàng)直接下載，安裝、注冊驗證即可(kě)。應用Script Encoder 對代碼加密，既簡單方便，安全性又高(gāo)。随着 Script Encoder 加密技(jì)術(shù)的廣泛應用，DLL 封裝方法的使用越來(lái)越少(shǎo)，逐步被淘汰。

　　3 文件上(shàng)傳存在的安全問題

　　很(hěn)多(duō)網站(zhàn)都具有(yǒu)文件上(shàng)傳功能，比如學習網站(zhàn)，教師(shī)上(shàng)傳一些(xiē)學習資料等，但(dàn)是網站(zhàn)的設計(jì)人(rén)員在設計(jì)網站(zhàn)時(shí)，沒有(yǒu)設置過濾參數(shù)過濾功能，導緻非法攻擊人(rén)員利用這個(gè)漏洞上(shàng)傳一些(xiē)惡意文件破壞網站(zhàn)的數(shù)據庫系統或者是執行(xíng)任意命令。為(wèi)了解決這個(gè)問題，提高(gāo)文件上(shàng)傳的安全性，應該在網站(zhàn)系統中添加判斷程序，這樣，系統在獲得(de)用戶的文件上(shàng)傳請(qǐng)求之後，先對文件的安全性進行(xíng)判别，符合文件上(shàng)傳的條件，才能完成上(shàng)傳操作(zuò)，這樣可(kě)以避免網站(zhàn)中上(shàng)傳一些(xiē)非法文件，對系統造成破壞。

　　本文由重慶做(zuò)網站(zhàn)-重慶網站(zhàn)建設公司-中技(jì)互聯：www.zjcoo.com