提高旅游网站管理系统的安全性(二)
相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。新手最容易忽略的问题就是sql注入漏洞的问题。用 nbsi 2.0对网上的网站扫描,就能发现部分网站存在sql注入漏洞,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。
怎样防止sql注入?
比如url、表单等提交信息时,通过一段防止sql注入的过滤代码即可防止出错信息暴露,或者通过转向,当系统出错时转到一个提示出错的页面等。同时服务器权限设置是一个非常重要的方面,由于涉及到服务器的配置比较多,本文不介绍。对于文本型输入,如果要进行检查,就得根据字段本身的性质进行。例如如果是年龄,就得限定必须是数字,大小必须限定在一个范围之间,比如说18-120之间。对于用户名,应该建立一个集合,这个集合里存放有被允许的字符,或被禁止的字符。
这里特别需要说明的一点是关于检查程序的问题。目前,程序对输入数据的检查是在前台通过客户端脚本完成的,这样攻击者很容易就可以绕过检查程序。建议采用前后台结合的方法,既可以保证效率,有可以提高安全性。
怎样测试程序已防止了sql注入?
此网站用id来传送数值,如果在id数值后面加一个sql敏感符号,英文单引号“'”,打开此链接,如果出现的是浏览器的默认出错提示,则需要设置浏览器,使其错误提示出现,方法为打开浏览器:选项-internet选项-高级,在设置里找到显示友好的http错误信息勾掉,确认后再刷新,如果此时出现了数据库出错的提示,如:microsoft ole db provider for odbc drivers 错误 '80040e21',那么说明本程序并没有防止sql注入,反之如果只出现了如:“提醒您, url有误,请与管理员联系”之类的提示,说明sql已经防止了注入。检测表单方法如:如提交脚本,在输入框中输入特殊字符如:script_等,在此不再叙述,测试者可以在网上找到很多这样的方法。
- 1投资中国旅游网站模板
- 2旅游营销战略选择及策略设计
- 3旅游网站管理系统,旅游立法与旅游者权益保护
- 4电子商务与旅游营销的关系
- 5海南旅游遭遇十一冷冻时期
- 6旅行社网络营销:要从旅行社网站建设开始
- 7需求分析
- 8旅游营销成为体育营销之后新焦点
- 9旅游网站建设信息化
- 10免费旅游网站建设常识
- 11节假日旅游营销应遵循的原则
- 12旅游网站管理系统,我国旅游商品“三无”特征
- 13泰国局势稳定促成旅游业回升
- 14旅游营销的发展趋势1
- 15旅游网站建设之山东省旅游强乡镇
- 16旅游营销之网络公关
- 17旅游网站建设建立外部链接技巧
- 18中国旅游营销的发展趋势
- 19旅游网站建设之中国公路旅游悄然开启
- 20旅游网站建设更新时应注意什么
- 21熊大寻旅游营销策划方案之:风花雪月”如何让大理游客翻倍
- 22为什么旅游网络营销体系可以协助旅游企业获利?
- 23海南岛国际旅游岛开发前景无限
- 24深秋时节,企业组织员工出游火爆
- 25旅游网站介绍
- 26建设旅行社盈利性网站
- 27中国旅游网站建设信息化发展论坛:移动互联网成未来主流
- 28旅游网站建设旅游门票强市
- 29旅游网站建设之在线旅游的应用
- 30旅游网站建设之研发豪华游轮