網站(zhàn)開(kāi)發應該注意些(xiē)什麽？web開(kāi)發注意事項！

發表日期：2010-08-13 文章編輯：王東浏覽次數(shù)：36 标簽：

輸出JSON問題。拼接JSON字符串，有(yǒu)些(xiē)特殊字符需要替換掉源代碼：如果未替換這些(xiē)特殊字符生(shēng)成的JSON不會(huì)被正确解析。推薦使用NET提供的JavaScriptSerializer對象生(shēng)成JSON字符串。

一、Web開(kāi)發注意事項

l 輸出JSON問題。

拼接JSON字符串，有(yǒu)些(xiē)特殊字符需要替換掉源代碼：

public static string ToJson(this string s) {

StringBuilder sb = new StringBuilder();

for (int i = 0; i < s.Length; i++) {

char c = s.ToCharArray()[i];

switch (c) {

case '\"': sb.Append("\\\""); break;

case '\\': sb.Append("\\\\"); break;

case '/': sb.Append("\\/"); break;

case '\b': sb.Append("\\b"); break;

case '\f': sb.Append("\\f"); break;

case '\n': sb.Append("\\n"); break;

case '\r': sb.Append("\\r"); break;

case '\t': sb.Append("\\t"); break;

default: sb.Append(c); break;

}

return sb.ToString();

}

如果未替換這些(xiē)特殊字符生(shēng)成的JSON不會(huì)被正确解析。

推薦使用NET提供的JavaScriptSerializer對象生(shēng)成JSON字符串。

源代碼：

public static string ToJson(this object obj){

return ToJson(obj, null);

}

public static string ToJson(this object obj, IEnumerable<JavaScriptConverter> jsonConverters) {

JavaScriptSerializer serializer = new JavaScriptSerializer();

if (jsonConverters != null) serializer.RegisterConverters(jsonConverters ?? new JavaScriptConverter[0]);

return serializer.Serialize(obj);

}

l XXS攻擊。

這篇文章很(hěn)全面：http://ha.ckers.org/xss.html

數(shù)據從數(shù)據庫讀出來(lái)顯示的時(shí)候一定要過濾。源代碼：

public static string UnHtml(this string htmlStr) {

if (string.IsNullOrEmpty(htmlStr)) return string.Empty;

return htmlStr.Replace("\"", "\\\"").ShowXmlHtml().Replace(" ", " ").Replace("\n", "<br />");

}

public static string ShowXmlHtml(this string htmlStr) {

if (string.IsNullOrEmpty(htmlStr)) return string.Empty;

string str = htmlStr.Replace("&", "&").Replace(">", ">").Replace("<", "<");

return str;

}

存在此漏洞别人(rén)可(kě)挂馬/記錄鍵盤操作(zuò)，并發送到指定的信箱/可(kě)彈廣告/==。

l Cookie/Session/ViewState數(shù)據存放需要加密。

代碼請(qǐng)參考：

C#.NET COOKIE操作(zuò) KEY使用MD5加密，Value使用AES加密

http://www.cnblogs.com/livexy/archive/2010/07/05/1771286.html

C#.Net Session操作(zuò) Key使用MD5加密，Value使用DES加密

http://www.cnblogs.com/livexy/archive/2010/07/05/1771288.html

C#.NET 加密解密：AES/DES/Base64/RSA/MD5/SHA256

http://www.cnblogs.com/livexy/archive/2010/07/05/1771285.html

l 上(shàng)傳圖片漏洞。

這種漏洞的主要解決辦法是：讓圖片目錄無執行(xíng)權限。

将圖片目錄放在非站(zhàn)點下。建一個(gè)獨立站(zhàn)點指向圖片目錄。

IIS7處理(lǐ)程序映射：

IIS6需要設置：隻讀和(hé)無執行(xíng)權限。禁用所有(yǒu)Web服務擴展。

l 備份文件時(shí)的小(xiǎo)漏洞，備份重要文件時(shí)擴展名不要使用.bak/.txt之類的，防止别人(rén)下載。備份文件請(qǐng)不要上(shàng)傳到服務器(qì)。

l 登錄漏洞

驗證用戶是否登錄最好的作(zuò)法是，先按登錄名，從數(shù)據庫查詢到用戶的ID和(hé)密碼。在代碼裏比較登錄密碼是否正确。不要直接查詢用戶名和(hé)密碼在表裏是否存在。

l 防止頁面被另存為(wèi)

HTML代碼裏加：<NOSCRIPT><IFRAME SRC="*.html"></IFRAME></NOSCRIPT>

l 防止頁面被內(nèi)嵌到别人(rén)的網站(zhàn)

HTML代碼裏加：<script>if (self != top) { top.location = self.location; }</script>

l 防止從本地提交數(shù)據

在POST/GET數(shù)據的時(shí)候，我們需要驗證頁面的referrer。如果referrer非本地的域名不讓訪問。這樣可(kě)防止從其它站(zhàn)點或本地提交數(shù)據。

l 前台JS驗證數(shù)據，提交到程序裏也需要驗證數(shù)據。做(zuò)雙保險才安全。

l 防無限刷新

數(shù)據提交的時(shí)候讓按鈕變灰不讓再次單擊。

提交成功後，用JS提示操作(zuò)成功，并轉向新頁面。這樣做(zuò)每次對方刷新都要點确定按鈕。可(kě)以減少(shǎo)刷新次數(shù)。

l 防無限提交數(shù)據/防ajax自動提交數(shù)據

加入驗證碼和(hé)提交時(shí)間(jiān)（如一分種發信息）限制(zhì)功能。

二、數(shù)據庫開(kāi)發注意事項

l 删除sa用戶，新建一個(gè)權限為(wèi)sa的用戶，用戶名和(hé)密碼一樣要複雜。以防暴力破解。新建一個(gè)web連接用戶，去掉所有(yǒu)服務器(qì)角色，在用戶映射中加入此用戶要操作(zuò)的數(shù)據庫db_owner和(hé)db_public身份。如果需要其它操作(zuò)要另加權限（如隻加insert/delete/select/update）。

l 防SQL注入

存在SQL注入很(hěn)嚴重。db_public身份一樣能對數(shù)據庫表有(yǒu)添加/修改/删除權限。

推薦使用Parameter傳值，不要使用字符串拼接。

如果需要拼接需要過濾一些(xiē)特殊字符，代碼如下：

public static string SafeSql(this string str) {

str = str.IsNullOrEmpty() ? "" : str.Replace("'", "''");

str = new Regex("exec", RegexOptions.IgnoreCase).Replace(str, "exec");

str = new Regex("xp_cmdshell", RegexOptions.IgnoreCase).Replace(str, "xp_cmdshell");

str = new Regex("select", RegexOptions.IgnoreCase).Replace(str, "select");

str = new Regex("insert", RegexOptions.IgnoreCase).Replace(str, "insert");

str = new Regex("update", RegexOptions.IgnoreCase).Replace(str, "update");

str = new Regex("delete", RegexOptions.IgnoreCase).Replace(str, "delete");

str = new Regex("drop", RegexOptions.IgnoreCase).Replace(str, "drop");

str = new Regex("create", RegexOptions.IgnoreCase).Replace(str, "create");

str = new Regex("rename", RegexOptions.IgnoreCase).Replace(str, "rename");

str = new Regex("truncate", RegexOptions.IgnoreCase).Replace(str, "truncate");

str = new Regex("alter", RegexOptions.IgnoreCase).Replace(str, "alter");

str = new Regex("exists", RegexOptions.IgnoreCase).Replace(str, "exists");

str = new Regex("master.", RegexOptions.IgnoreCase).Replace(str, "master.");

str = new Regex("restore", RegexOptions.IgnoreCase).Replace(str, "restore");

return str;

}

要使用sp_executesql不要使用：exec

l select/insert/delete/update操作(zuò)時(shí)需要注意：

當前用戶隻能查看，添加，删除，更新自己的數(shù)據。在操作(zuò)的時(shí)候一定要判斷是不是指定的用戶可(kě)以操作(zuò)。有(yǒu)很(hěn)多(duō)新人(rén)寫程序的時(shí)候沒有(yǒu)做(zuò)過處理(lǐ)，會(huì)出現當前用戶可(kě)以删除别人(rén)的數(shù)據。

删除我的博文ID=1的SQL代碼：delete from blog where blogID=1這樣是有(yǒu)問題的，應該這麽寫：delete from blog where blogID=1 and userid=當前登錄的用戶ID。同樣查詢，修改，更新也存在這樣的問題。

三、自我測試需要注意

l 想象每一個(gè)函數(shù)/方法調用盡可(kě)能存在的情況。

l 測試所有(yǒu)按鈕/鏈接/圖片是否可(kě)點，鏈接地址是否正确，是否存在無效鏈接。

l 每一個(gè)可(kě)輸入控件都要輸入特殊字符去測試。每一個(gè)URL參數(shù)都要輸入特殊字符去測試。

特殊字符：

‘

“

or 1=1

or 1=2

''%' or 1=1;--

\r\n

l 界面是否美觀/顔色是否刺眼/哪裏可(kě)以改進。

l 提交數(shù)據是否可(kě)刷新多(duō)次提交。多(duō)次快速連續點擊保存，保存按鈕是否可(kě)用，是否已多(duō)次提交數(shù)據。

l 是否可(kě)查看，修改，删除，更新别人(rén)的個(gè)人(rén)資料或私密信息。

l 是否可(kě)被內(nèi)嵌/是否可(kě)被另存為(wèi)/是否有(yǒu)登錄漏洞/是否可(kě)本地提交數(shù)據/程序是否驗證數(shù)據的格式、安全性和(hé)惡意性

重慶中技(jì)互聯網信息資訊有(yǒu)限公司
重慶網站(zhàn)建設事業部官方網：www.zjcoo.com
電(diàn)子商務建站(zhàn)事業部咨詢電(diàn)話(huà)：023-67742189
門(mén)戶網站(zhàn)品牌加盟推廣電(diàn)話(huà)：023-67742189
7*24小(xiǎo)時(shí)服務電(diàn)話(huà)：023-67742189
媒體(tǐ)合作(zuò)電(diàn)話(huà)：13883323406
投資合作(zuò)電(diàn)話(huà)：13896068183
QQ及郵件地址：446515345@qq.com

如沒特殊注明(míng)，文章均為(wèi)中技(jì)互聯原創,轉載請(qǐng)注明(míng)來(lái)自www.zjcoo.com