&

[點(diǎn)晴永久免費(fèi)OA]用ASP開發(fā)網(wǎng)頁需要牢記的注意事項(xiàng)

當(dāng)前位置：點(diǎn)晴教程→點(diǎn)晴OA辦公管理信息系統(tǒng) →『經(jīng)驗(yàn)分享&問題答疑』

admin

2022年7月5日 1:37 本文熱度 1639

步　驟

1、永遠(yuǎn)不要相信用戶輸入的內(nèi)容具有適當(dāng)?shù)拇笮』蛘甙m當(dāng)?shù)淖址Ｔ谑褂闷渥龀鰶Q策之前應(yīng)該始終對用戶輸入進(jìn)行驗(yàn)證。最佳的選擇是創(chuàng)建一個 COM+ 組件，這樣您可以從 ASP 頁面中調(diào)用該組件來驗(yàn)證用戶的輸入內(nèi)容。您也可以使用 Server.HTMLEncode 方法、Server.URLEncode 方法，或者本頁底部代碼示例中的某一個。

　　２、不要通過連接用戶輸入的字符串來創(chuàng)建 ASP 頁中的數(shù)據(jù)庫連接字符串。惡意用戶可以通過在他們的輸入內(nèi)容中插入代碼來獲取數(shù)據(jù)庫的訪問權(quán)限。如果您使用的是 SQL 數(shù)據(jù)庫，那么請使用存儲過程創(chuàng)建數(shù)據(jù)庫連接字符串。

　　３、不要使用默認(rèn)的 SQL 管理員帳戶名 sa。每個使用 SQL 的用戶都知道存在 sa 帳戶。創(chuàng)建具有安全可靠密碼的其他 SQL 管理帳戶，并刪除 sa 帳戶。

　　４、在您存儲客戶端用戶密碼之前，請對這些密碼使用哈希算法、進(jìn)行 base64 編碼，或者使用 Server.HTMLEncode 或者 Server.URLEncode 進(jìn)行編碼。您還可以使用本頁底部的某個代碼示例驗(yàn)證客戶端密碼中的字符。

　　５、不要把管理帳戶名或密碼放置在管理腳本或 ASP 頁中。

　　６、不要根據(jù)請求標(biāo)題在代碼中做出決策，因?yàn)闃?biāo)題數(shù)據(jù)可以被惡意用戶偽造。在使用請求數(shù)據(jù)前，始終要對其進(jìn)行編碼或者使用下面的代碼示例驗(yàn)證其所包含的字符。

　　７、不要將安全數(shù)據(jù)存儲在 Cookie 中或者將輸入字段隱藏在網(wǎng)頁中。
始終將安全套接字層 (SSL) 用于基于會話的應(yīng)用程序，以避免未對會話 Cookie 進(jìn)行加密就發(fā)送它們所帶來的風(fēng)險。如果會話 Cookie 沒有經(jīng)過加密，則惡意用戶可以使用一個應(yīng)用程序中的會話 Cookie 進(jìn)入到與之在同一進(jìn)程中的另一個應(yīng)用程序。

　　８、當(dāng)編寫 ISAPI 應(yīng)用程序、篩選器或者 COM+ 對象時，請注意由于變量和數(shù)據(jù)的大小而造成的緩沖區(qū)溢出。還要注意可能由于解釋造成的規(guī)范化問題，例如將絕對路徑名解釋成相對路徑名或 URL。

　　９、當(dāng)在單線程單元 (STA) 內(nèi)運(yùn)行的 ASP 應(yīng)用程序切換到多線程單元 (MTA) 內(nèi)時，模擬令牌將過時。這可能導(dǎo)致應(yīng)用程序在無模擬的情況下運(yùn)行，讓其用可能允許訪問其他資源的進(jìn)程的標(biāo)識有效地運(yùn)行。如果您必須切換線程模型，請在進(jìn)行更改之前，先禁用該應(yīng)用程序并將其卸載。

代碼示例
本代碼示例包含了一個函數(shù)，它可刪除發(fā)送至該函數(shù)的字符串中的可能有害的字符。在上面的兩個示例中，指定代碼頁以確保正確地編碼。

下面的示例使用的是 Microsoft Visual Basic® scripting Edition(VBscript)：

<%@ LANGUAGE="VBscript" %> 
<% 
Response.CodePage = 1252 
Response.Write("Hello, " & RemoveBadCharacters(Request.Form("UserName"))) 
Response.Write("<BR>This is why you received an error:")
Function RemoveBadCharacters(strTemp) 
Dim regEx 
Set regEx = New RegExp 
regEx.Pattern = "[^\s\w]" 
regEx.Global = True 
RemoveBadCharacters = regEx.Replace(strTemp, "") 
End Function 
%>

下面的示例使用的是 Microsoft Jscript®：

<%@ LANGUAGE="Jscript" %> 
<% 
Response.CodePage = 1252; 
Response.Write("Hello, " + RemoveBadCharacters(Request.Form("UserName"))); 
Response.Write("<BR>This is why you received an error:");
function RemoveBadCharacters(strTemp) { 
strTemp = strTemp.replace(/[^\s\w]/g,""); 
return strTemp; 
} 
%>

這篇文章就介紹到這，希望大家多多支持。

該文章在 2022/7/5 1:37:59 編輯過

關(guān)鍵字查詢

網(wǎng)頁

開發(fā)

相關(guān)文章

正在查詢...

點(diǎn)晴ERP是一款針對中小制造業(yè)的專業(yè)生產(chǎn)管理軟件系統(tǒng),系統(tǒng)成熟度和易用性得到了國內(nèi)大量中小企業(yè)的青睞。

點(diǎn)晴PMS碼頭管理系統(tǒng)主要針對港口碼頭集裝箱與散貨日常運(yùn)作、調(diào)度、堆場、車隊(duì)、財務(wù)費(fèi)用、相關(guān)報表等業(yè)務(wù)管理，結(jié)合碼頭的業(yè)務(wù)特點(diǎn)，圍繞調(diào)度、堆場作業(yè)而開發(fā)的。集技術(shù)的先進(jìn)性、管理的有效性于一體，是物流碼頭及其他港口類企業(yè)的高效ERP管理信息系統(tǒng)。

點(diǎn)晴WMS倉儲管理系統(tǒng)提供了貨物產(chǎn)品管理,銷售管理,采購管理,倉儲管理,倉庫管理,保質(zhì)期管理,貨位管理,庫位管理,生產(chǎn)管理,WMS管理系統(tǒng),標(biāo)簽打印,條形碼,二維碼管理,批號管理軟件。

點(diǎn)晴免費(fèi)OA是一款軟件和通用服務(wù)都免費(fèi)，不限功能、不限時間、不限用戶的免費(fèi)OA協(xié)同辦公管理系統(tǒng)。

男女做爽爽爽网站-男女做羞羞高清-男女做爰高清无遮挡免费视频-男女做爰猛烈-男女做爰猛烈吃奶啪啪喷水网站-内射白浆一区

[點(diǎn)晴永久免費(fèi)OA]用ASP開發(fā)網(wǎng)頁需要牢記的注意事項(xiàng)