網(wǎng)站程序安全性需要從哪幾方面考慮?
企業(yè)網(wǎng)站建設(shè)中網(wǎng)站程序的建設(shè)是一項非常嚴(yán)謹(jǐn)且邏輯性強(qiáng)的工作,它也是網(wǎng)站能否安全運(yùn)行的基礎(chǔ)和保障。所以我們在進(jìn)行企業(yè)網(wǎng)站程序建設(shè)開發(fā)時一定要注意安全問題,如果處理不好將會給網(wǎng)站系統(tǒng)的使用和管理帶來很多麻煩。
網(wǎng)站程序安全性問題在很大程度上是一些技術(shù)問題,涉及的方面有很多,一般按其出現(xiàn)的情況可以分為常見的、基本的、可通用三個等級。不同的層級解決起來的難度也是不同的,我們可以根據(jù)情況決定檢查力度。在開發(fā)的過程中并我們可能沒有特意到,這些細(xì)節(jié)的東西都會引發(fā)安全性問題。下面小編就為大家分別介紹一下。
防止SQL注入技術(shù)
SQL注入技術(shù)指的是程序員在編寫代碼的時候,在對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷時沒有做好防護(hù),使應(yīng)用程序存在安全隱患對URL、表單等提交信息、文本型輸入信息等做好安體檢查程序,并對這些程序進(jìn)行測試。對URL的測試方法:設(shè)置瀏覽器,使其錯誤提示出現(xiàn),方法為打開瀏覽器:選項—Internet選項—高級,在設(shè)置里找到顯示友好的HTTP錯誤信息勾掉,確認(rèn)后再刷新,如果出現(xiàn)“提醒您, URL有誤,請與管理員聯(lián)系”之類的提示,說明SQL已經(jīng)防止了注入。
對表單的檢測方法:如提交腳本,在輸入框中輸入特殊字符如:script_等,在此不再敘述,測試者可以在網(wǎng)上找到很多這樣的方法。
驗證碼技術(shù)
所謂驗證碼,就是將一串隨機(jī)產(chǎn)生的數(shù)字或符號,生成一幅圖片,圖片里加上一些干擾象素,由用戶肉眼識別其中的驗證碼信息,輸入表單提交網(wǎng)站驗證,驗證成功后才能使用某項功能。
現(xiàn)在的企業(yè)網(wǎng)站使用注冊、留言本等功能一般都采取的使用通過使用驗證碼技術(shù)業(yè)完成,這樣做使得客戶端輸入的信息都必須經(jīng)過驗證才能完成。這樣做可以很有效的防止不法用戶用軟件頻繁注冊,頻繁發(fā)送不良信息等。
測試方法:必須保證所有客戶端交互部分都輸入驗證碼,測試提交信息時不輸入驗證碼,或者故意輸入錯誤的驗證碼,如果信息都不能交,說明驗證碼有效,同時在驗證碼輸入正確下提交信息,如果能提交,說明驗證碼功能已完善。
密碼加密技術(shù)
密碼加密技術(shù)指的是在為MD5加密來防止黑客下載網(wǎng)站的數(shù)據(jù),起到保護(hù)企業(yè)網(wǎng)站數(shù)據(jù)庫的目的。MD5加密后的密碼,我們會在數(shù)據(jù)庫中看到的是一連串經(jīng)過加密的字符串,不能看到真正的密碼,這樣能更好地保護(hù)網(wǎng)站的安全。
使用MD5加密技術(shù)的方法:凡是經(jīng)過加密的密碼,系統(tǒng)功能上多半有找回密碼的功能,這是表面的測試,測試人員可以調(diào)用開發(fā)人員的數(shù)據(jù)表,查詢是否經(jīng)過加密,從而保證系統(tǒng)密碼的安全,一般對具有大量會員的商業(yè)性網(wǎng)站必須使用。
數(shù)據(jù)備份技術(shù)
數(shù)據(jù)備份技術(shù)是卻保企業(yè)網(wǎng)站數(shù)據(jù)庫安全的常用措施,一般情況下采用數(shù)據(jù)庫系統(tǒng)自動定時備份、定時自動刪除幾天以前的數(shù)據(jù)等,即可完成數(shù)據(jù)的備份功能。而圖片、文件一般是不能自動備份,需要手工操作,所以我們必須要定期手工對網(wǎng)站的圖片、文件進(jìn)行備份操作。
測試數(shù)據(jù)備份技術(shù)的方法:對于已經(jīng)做好的網(wǎng)站,數(shù)據(jù)庫系統(tǒng)都會自動備份到服務(wù)器某個文件夾下,那么測試時我們就需要讓程序開發(fā)人員提供可以下載數(shù)據(jù)備份文件的路徑,即可知道是否已經(jīng)做了自動備份功能,而自動備份間隔時間的確定,需要根據(jù)網(wǎng)站的更新頻率來決定。
企業(yè)網(wǎng)站建設(shè)中的網(wǎng)站程序安全建設(shè)非常重要,尤其是服務(wù)器的配置更是如此,企業(yè)網(wǎng)站建設(shè)者一定要估好這方面的防范措施,保證網(wǎng)站可以順利的運(yùn)行下去。
