虛擬主機Web應用開發需要注意的安全問題

近幾年黑客攻擊防不勝防，這就需要我們在做任何操作都要加強安全防范意識。本文分享下虛擬主機Web應用開發時應該注意到的安全問題，希望可以幫大家加強安全防護。

表單數據驗證

在數據被輸入程序前必須對數據合法性的檢驗。非法輸入問題是最常見的Web應用程序安全漏洞。

需要做到：對任何輸入內容進行檢查。接受所有可以接受的內容，拒絕所有不能接受的內容。

所有提交的表單數據，都必須驗證兩次，即提交前在客戶端用Javascript驗證，提交后在服務器端用腳本再次驗證，保證數據的合法性。尤其是對于必填項，不僅需要同時在客戶端和服務端驗證是否做了輸入，還要驗證輸入的數據格式是否正確。

需要注意：在客戶端上的Javascript驗證并不是真正意義上的檢查。比如惡意用戶很容易在自己的終端上禁用腳本執行，從而防止客戶端的內容檢查腳本運行，使得他可以輸入惡意代碼并成功地提交表單。

對于圖像上傳功能，需要驗證上傳圖像的格式及大小是否合乎要求。

防范SQL語句注入攻擊

程序需要對所有從外部接收到的數據進行過濾，防止惡意攻擊。主要防范的字符有“'|script|exec|insert|select|delete|update|count|chr|mid|master|truncate|declare”。

使用積極的過濾而不是消極的過濾。換句話說，就是檢查應該輸入什么，而不是檢查不應該輸入什么。只規定哪些內容不應該輸入，會留下太多的漏洞。因為有很多內容都不應該被輸入。積極的過濾方式應該包括：

？是否為空（需要去掉空格后判斷）

？是否是正確的數據類型(字符串，整數等)

？是否要求帶有參數

？字符編碼是否允許

？輸入內容是否達到了內容長度的最大或者最小界限

？是否允許輸入空值

？如果應該輸入數字，那么確定數字大小的范圍。

？輸入內容是否造成了數據重復，如果是，判斷這種情況是否可以接受。

？輸入內容是否符合格式要求（比如是否采用正則表達式）

？如果是通過下拉列表選取的內容，確保其包含了有效的值

地址欄變量需要進行驗證

對于從地址欄上接收到的變量，必須要驗證其合法性。例如，如果從地址欄上收到了文章ID值，則需要驗證ID是否為數字，是否有攻擊字符等。

跨站攻擊的預防

在驗證提交的數據時，為防止跨站攻擊，可以檢查上一個頁面是否為本站，另外，過濾

<”替換為“<”，把>

目錄和文件夾的安全

用戶只能訪問網站目錄下的內容，確保用戶不能訪問網站目錄以外的目錄。

程序中涉及文件包含的地方，要確認所有包含的文件的位置正確。為了防止非法包含文件，應特別小心“./”或“../”的使用。

后臺所有程序頁面需要做授權驗證

如果未經過成功登錄，不允許訪問任何一個后臺程序頁面。如果用Session驗證，Session有效期不可以太長，建議為15分鐘。

成功登陸后的用戶，需要驗證是否有某個操作的權限。

關鍵信息需要加密

對于密碼、會話令牌等關鍵信息，需要進行加密后再保存到數據庫，不允許用明文方式。一般采用MD5加密方式。

配置文件安全

程序中的配置文件（重點是數據庫連接配置）需要重點進行安全保護，配置文件不能允許用戶直接訪問，配置文件的文件擴展名不能為.inc、.txt，必須為可執行腳本擴展名，如.asp、.php、.jsp、.aspx…

數據庫安全

數據庫文件需要重點安全保護，對于使用access數據庫的程序，不可以允許數據庫直接可以通過瀏覽器下載，數據庫文件的路徑和文件名稱需要不易猜測到，數據庫文件的擴展名不能為.mdb?？梢栽O置服務器來禁止此類型的文件下載。

使用“最低權限”限制數據庫用戶的權限。如果使用SQLSERVER或MySQL數據庫，可以考慮只給瀏覽用戶以讀權限，后臺用戶以讀、寫及刪權限。

資源的釋放

程序中的使用了關鍵資源后，必須進行顯式釋放和關閉，尤其是數據庫連接、文件句柄等資源。

防止過分詳細的錯誤提示。

攻擊者經常會故意輸入錯誤的內容，進而分析系統給出的錯誤提示信息，從中獲取系統信息，發現可能存在的漏洞。

對于使用Access數據庫的用戶來說，過于詳細的錯誤提示可能會暴露出數據庫文件的路徑。

友好的操作反饋提示

對于流程性的操作，需要給用戶的操作以友好性反饋提示，讓用戶了解自己的操作是否有問題，問題在什么地方。

例如，會員注冊表單，如果用戶提交時，忘記填寫某些項，可以在該項后以醒目的顏色來提示，提示的顯示最好以AJAX技術實現無刷新效果，提高用戶體驗。

后臺的程序對于一些操作，如刪除、審核，必須讓用戶確認一下才可以執行。

不管用戶操作成功或失敗，都需要給與提示信息。

驗證碼的使用

對于用戶注冊、用戶登陸、調查問卷、在線反饋、評論等程序，需要加上驗證碼，防止機器人繞過限制提交垃圾信息。