歡迎來到合肥浪訊網絡科技有限公司官網
咨詢服務熱線:400-099-8848
咨詢服務熱線:400-099-8848
網站安全的一些防范方法(一) |
| 發布時間:2024-10-19 文章來源:本站 瀏覽次數:506 |
黑客進犯的類型及阻攔方法:
黑客能采納多種進犯方法對一個網站進行部分或悉數操控。一般而言,風險的而又常見的是跨站點腳本(XSS,cross-site scripting)和SQL植入(injection) 。
跨站點腳本是一種通過使用網絡使用程序層面的安全漏洞,在網頁中植入歹意代碼的技能。當網絡使用程序處理通過用戶輸入獲得的數據,并且在回來給終用戶前沒有任何進一步的檢查或驗證時,這種進犯就可能產生。
確保網絡使用程序不被這種技能侵犯的方法有很多種,在此羅列一些簡單的方法。
為防止潛在歹意字符的直接植入,能夠使用一些數據編碼,例如,PHP中的htmlspecialchars功用;
為防止歹意字符直接植入使用程序代碼,能夠在數據庫端和數據輸入之間建一個“層”;
除掉能夠被插入到表單中的數據輸入,如PHP中的strip tags功用。
SQL植入是一種在網絡使用程序中植入歹意代碼的技能,它使用數據庫層面的安全漏洞以達到非法操控數據庫目的。這種技能非常強大,它能夠操縱網址(查詢字符串)或其他任何形式(登錄,搜索,電子郵件注冊)以植入歹意代碼。
當然,也是有方法防止此類黑客進犯的產生的。一種是在前端界面和后端數據庫之間添加一個“中間層”。 例如,在PHP中,PDO(PHP Data Objects)擴展一般與參數(有時被稱作placeholder或綁定變量)一起產生效果,而不是直接將用戶輸入做為指令句子。另一種極為簡單的技能是字符轉義,通過這種方法,所有能夠直接影響數據庫結構的風險字符都能夠被轉義。例如,參數中每出現一個單引號[‘]必須代之以兩個單引號[’‘]來形成一個有用的SQL字符串。這兩種是常見的,也是能夠采納的,用以防止SQL植入,改進網站安全的有用方法。 |
