《
web開發(fā)注意事項(xiàng)_網(wǎng)絡(luò)公司》文章地址:http://www.tfxk.com/wangyesheji/jianzhanjingyan/110B262012.htm
public static string ToJson(this object obj){
if (string.IsNullOrEmpty(htmlStr)) return string.Empty;
IIS7處置程序映射:
case '/': sb.Append("\\/"); break;
JavaScriptSerializer serializer = new JavaScriptSerializer();
參加驗(yàn)證碼跟提交時光(如一分種發(fā)信息)限度功效�。
l 避免頁面被內(nèi)嵌到別人的網(wǎng)站
l 提交數(shù)據(jù)是否可刷新多次提交。屢次疾速持續(xù)點(diǎn)擊保存����,保留按鈕是否可用���,是否已多次提交數(shù)據(jù)��。
推舉使用Parameter傳值����,不要使用字符串拼接����。
str = new Regex("drop", RegexOptions.IgnoreCase).Replace(str, "drop");
在POST/GET數(shù)據(jù)的時候,咱們需要驗(yàn)證頁面的referrer��。如果referrer非本地的域名不讓拜訪。這樣可防止從其它站點(diǎn)或本地提交數(shù)據(jù)�。
l 上傳圖片漏洞。
l 防止從本地提交數(shù)據(jù)
刪除我的博文ID=1的SQL代碼:delete from blog where blogID=1這樣是有問題的����,應(yīng)當(dāng)這么寫:delete from blog where blogID=1 and userid=當(dāng)前登錄的用戶ID。同樣查詢����,修改,更新也存在這樣的問題��。
一�����、Web開發(fā)注意事項(xiàng)
str = new Regex("restore", RegexOptions.IgnoreCase).Replace(str, "restore");
str = new Regex("alter", RegexOptions.IgnoreCase).Replace(str, "alter");
l select/insert/delete/update操作時須要留神:
public static string ToJson(this object obj, IEnumerable<JavaScriptConverter> jsonConverters) {
}
str = new Regex("exists", RegexOptions.IgnoreCase).Replace(str, "exists");
l 防SQL注入
}
拼接JSON字符串�����,有些特殊字符需要替代掉源代碼:
}
l 登錄漏洞
str = new Regex("update", RegexOptions.IgnoreCase).Replace(str, "update");
l 備份文件時的小漏洞�,備份主要文件時擴(kuò)大名不要使用.bak/.txt之類的,防止別人下載�����。備份文件請不要上傳到服務(wù)器。
特殊字符:
str = str.IsNullOrEmpty() ? "" : str.Replace("'", "''");
}
存在此漏洞別人可掛馬/記載鍵盤操作�����,并發(fā)送到指定的信箱/可彈廣告/==����。
case '\"': sb.Append("\\\""); break;
return sb.ToString();
str = new Regex("truncate", RegexOptions.IgnoreCase).Replace(str, "truncate");
case '\n': sb.Append("\\n"); break;
for (int i = 0; i < s.Length; i++) {
要使用sp_executesql不要應(yīng)用:exec
return htmlStr.Replace("\"", "\\\"").ShowXmlHtml().Replace(" ", " ").Replace("\n", "<br />");
二、數(shù)據(jù)庫開發(fā)注意事項(xiàng)
StringBuilder sb = new StringBuilder();
case '\b': sb.Append("\\b"); break;
str = new Regex("exec", RegexOptions.IgnoreCase).Replace(str, "exec");
str = new Regex("xp_cmdshell", RegexOptions.IgnoreCase).Replace(str, "xp_cmdshell");
}
l 預(yù)防頁面被另存為
l
}
C#.Net Session操作 Key使用MD5加密����,Value使用DES加密
l
l 前臺JS驗(yàn)證數(shù)據(jù),提交到程序里也需要驗(yàn)證數(shù)據(jù)���。做雙保險才平安。
l 輸出JSON問題��。
l 每一個可輸入控件都要輸入特殊字符去測試��。每一個URL參數(shù)都要輸入特殊字符去測試�。
HTML代碼里加:<script>if (self != top) { top.location = self.location; }</script>
l 界面是否雅觀/色彩是否扎眼/哪里可以改良。
l 防無限刷新
l 防無窮提交數(shù)據(jù)/防ajax主動提交數(shù)據(jù)
IIS6需要設(shè)置:只讀和無執(zhí)行權(quán)限��。禁用所有Web服務(wù)擴(kuò)展�。
提交勝利后,用JS提醒操作成功,并轉(zhuǎn)向新頁面��。這樣做每次對方刷新都要點(diǎn)斷定按鈕�。能夠減少刷新次數(shù)。
源代碼:
l 測試所有按鈕/鏈接/圖片是否可點(diǎn)����,鏈接地址是否正確,是否存在無效鏈接�����。
l 設(shè)想每一個函數(shù)/方式調(diào)用盡可能存在的情形�����。
''%' or 1=1;--
public static string SafeSql(this string str) {
驗(yàn)證用戶是否登錄最好的作法是�����,先按登錄名��,從數(shù)據(jù)庫查詢到用戶的ID和密碼�����。在代碼里比擬登錄密碼是否正確。不要直接查問用戶名和密碼在表里是否存在���。
將圖片目錄放在非站點(diǎn)下��。建一個獨(dú)破站點(diǎn)指向圖片目錄���。
public static string UnHtml(this string htmlStr) {
代碼請參考:
str = new Regex("select", RegexOptions.IgnoreCase).Replace(str, "select");
l 是否可被內(nèi)嵌/是否可被另存為/是否有登錄漏洞/是否可本地提交數(shù)據(jù)/程序是否驗(yàn)證數(shù)據(jù)的格局、保險性和歹意性
如果需要拼接需要過濾一些特殊字符��,代碼如下:
l 是否可查看����,修正,刪除�,更新別人的個人材料或私密信息。
l XXS攻打�����。
if (string.IsNullOrEmpty(htmlStr)) return string.Empty;
return str;
case '\r': sb.Append("\\r"); break;
default: sb.Append(c); break;
“
if (jsonConverters != null) serializer.RegisterConverters(jsonConverters ?? new JavaScriptConverter[0]);
‘
<script>alert(1)</script>
or 1=1
\r\n
這篇文章很全面:
推薦使用NET供給的JavaScriptSerializer對象生成JSON字符串�����。
public static string ToJson(this string s) {
-->
HTML代碼里加:<NOSCRIPT><IFRAME SRC="*.htm"></IFRAME></NOSCRIPT>
str = new Regex("create", RegexOptions.IgnoreCase).Replace(str, "create");
str = new Regex("delete", RegexOptions.IgnoreCase).Replace(str, "delete");
三�����、自我測試需要注意
數(shù)據(jù)提交的時候讓按鈕變灰不讓再次單擊�����。
當(dāng)前用戶只能查看��,增加��,刪除����,更新本人的數(shù)據(jù)。在操作的時候一定要斷定是不是指定的用戶可以操作�。有良多新人寫程序的時候不做過處理,會呈現(xiàn)當(dāng)前用戶可以刪除別人的數(shù)據(jù)���。
char c = s.ToCharArray()[i];
l
l 刪除sa用戶����,新建一個權(quán)限為sa的用戶�,用戶名和密碼一樣要龐雜。以防暴力破解��。新建一個web銜接用戶,去掉所有服務(wù)器角色���,在用戶映射中加入此用戶要操作的數(shù)據(jù)庫db_owner和db_public身份���。如果需要其它操作要另加權(quán)限(如只加insert/delete/select/update)。
str = new Regex("rename", RegexOptions.IgnoreCase).Replace(str, "rename");
str = new Regex("master.", RegexOptions.IgnoreCase).Replace(str, "master.");
C#.NET COOKIE操作 KEY使用MD5加密���,Value使用AES加密
存在SQL注入很重大���。db_public身份一樣能對數(shù)據(jù)庫表有增添/修改/刪除權(quán)限。
\n
switch (c) {
str = new Regex("insert", RegexOptions.IgnoreCase).Replace(str, "insert");
}
C#.NET 加密解密:AES/DES/Base64/RSA/MD5/SHA256
case '\\': sb.Append("\\\\"); break;
return str;
這種破綻的重要解決措施是:讓圖片目錄無履行權(quán)限�。
case '\t': sb.Append("\\t"); break;
return serializer.Serialize(obj);
假如未調(diào)換這些特別字符天生的JSON不會被準(zhǔn)確解析。
or 1=2
數(shù)據(jù)從數(shù)據(jù)庫讀出來顯示的時候必定要過濾���。源代碼:
string str = htmlStr.Replace("&", "&").Replace(">", ">").Replace("<", "<");
public static string ShowXmlHtml(this string htmlStr) {
}
return ToJson(obj, null);
l Cookie/Session/ViewState數(shù)據(jù)寄存需要加密�。
case '\f': sb.Append("\\f"); break;
相關(guān)的主題文章:
(責(zé)任編輯:網(wǎng)站建設(shè))
web開發(fā)注意事項(xiàng)_網(wǎng)絡(luò)公司相關(guān)文章