怎樣提升網(wǎng)站程序開發(fā)的安全性呢？宇塵網(wǎng)絡(luò)為您分析網(wǎng)站程序安全開發(fā)技巧

如何提升網(wǎng)站的安全性？有時(shí)只要在網(wǎng)站開發(fā)過程中多留意，或者多了解一些黑客常用的手法，就能降低網(wǎng)站被駭?shù)臋C(jī)率。下面我們將介紹6種訣竅，常常是網(wǎng)站開發(fā)時(shí)常見的問題，如能多留意，對(duì)于提升網(wǎng)站應(yīng)用程序的安全性將有所幫助。

1.前后、端都要檢查使用者輸入

許多程序開發(fā)人員喜歡用JavaScript來檢查使用者輸入的內(nèi)容，雖然透過正規(guī)表達(dá)能檢視出一些不正常的語法，然而如果黑客將頁面儲(chǔ)回自己的計(jì)算機(jī)，或是透過JavaScript語法修改DOM，就能移除掉這些檢查機(jī)制。

因此前端做過的檢查工作，丟給后端程序之前，仍必須查驗(yàn)一遍，千萬不要以為前端做過檢查，就可以放行。

2.過濾使用者輸入內(nèi)容

目前網(wǎng)站安全最常見的問題，莫過于SQL Injection和XSS攻擊手法，而這兩個(gè)攻擊的源頭，都來自于沒有妥善過濾由使用者傳來的數(shù)據(jù)，除了輸入數(shù)據(jù)之外，包含cookie、參數(shù)都可能成為黑客利用的工具。

這些攻擊手法都包含一些特定字符，像是「'」、「`」、「 "」、「 <」、「 >」、「 %xx」、「\0xx」等，因此在任何使用者可以傳遞字符的地方，都要設(shè)下檢查的機(jī)制，過濾數(shù)據(jù)中是否包含這些特殊字符，將特殊字符進(jìn)行轉(zhuǎn)化，例如將「'」轉(zhuǎn)換成「'」或「<」轉(zhuǎn)換成「<」。

3.妥善處理錯(cuò)誤訊息

有許多程序開發(fā)人員對(duì)于錯(cuò)誤處理不夠細(xì)心，導(dǎo)致腳本語法或數(shù)據(jù)庫發(fā)生錯(cuò)誤時(shí)，直接讓錯(cuò)誤碼呈現(xiàn)在瀏覽器，錯(cuò)誤信息對(duì)一般的使用者沒什么意義，但往往會(huì)給黑客帶來許多參考價(jià)值。

4.檢查上傳內(nèi)容

由于Web 2.0帶來的強(qiáng)調(diào)分享機(jī)制，因此也越來越多網(wǎng)站允許使用者上傳數(shù)據(jù)。然而黑客有可能在上傳的檔名上動(dòng)手腳，如果不加以檢查，就有可能執(zhí)行對(duì)網(wǎng)站有所危害的腳本程序。

5.敏感信息要妥善處理

有些檔案該刪就刪，例如一些應(yīng)用程序的安裝腳本不要留在系統(tǒng)上，賬號(hào)等相關(guān)的敏感數(shù)據(jù)一定要設(shè)在防止搜尋引擎索引、快取的數(shù)據(jù)夾，或設(shè)定相關(guān)的防索引語法。

6.將密碼以編碼方式儲(chǔ)進(jìn)數(shù)據(jù)庫

密碼不要采用明碼的方式儲(chǔ)進(jìn)數(shù)據(jù)庫，透過像是md5的方式進(jìn)行編碼，讓敏感信息可以受到更好的保障。

以上建議希望對(duì)大家有一定的幫助，也希望朋友們的網(wǎng)站都能做的更好，做的更強(qiáng)大….宇塵網(wǎng)絡(luò)真誠的祝福大家��！