网站程序的安全是系统开发人员必须考虑的重要因数之一,因为这涉及到网站的建设者、网站用户的诸多安全问题,如果不处理好,可能会给系统的使用者和管理者带来严重问题。同时Web应用程序的安全解决方案不仅是技术问题,还涉及到管理等多个方面。
技术开发人员都可能使用过其中一种或者都使用过,但是有时我们在开发的过程中并没有特意的引起重视,在每一个细节的处理时未注意网站的安全性,结果可能导致一些安全漏洞。希望通过此文使开发人员能够更加注重系统安全性,尤其测试人员能够通过监督去保证系统的安全性,提高产品质量。
1防止SQL注入技术
为什么必须防止SQL注入?
相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI2.0对网上的网站扫描,就能发现部分网站存在SQL注入漏洞,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。
怎样防止SQL注入?
比如URL、表单等提交信息时,通过一段防止SQL注入的过滤代码即可防止出错信息暴露,或者通过转向,当系统出错时转到一个提示出错的页面等。同时服务器权限设置是一个非常重要的方面,由于涉及到服务器的配置比较多,本文不介绍。
对于文本型输入,如果要进行检查,就得根据字段本身的性质进行。例如如果是年龄,就得限定必须是数字,大小必须限定在一个范围之间,比如说18-120之间。对于用户名,应该建立一个集合,这个集电子商务资料库$"9.#+.+4&;7,9合里存放有被允许的字符,或被禁止的字符。
这里特别需要说明的一点是关于检查程序的问题。目前,程序对输入数据的检查是在前台通过客户端脚本完成的,这样攻击者很容易就可以绕过检查程序。建议采用前后台结合的方法,既可以保证效率,有可以提高安全性。
Verizon信息服务公司的付总裁、市场总监说,“研究表明,许多消费者利用互联网查询商品信息,然后到当地的商场去购买。尽管网上交易对许多企业网站并没有直接效果,但是不可否认,通过建立网站,大多数企业都利用网站推广产品活服务取得了明显利益。” 由此看来,为了在网上占有一席之地,企业还是值得投资建网站的
企业建网站的主要作用是什么?最近的调查表明,企业建立网站的目的主要在于做广告和推广自己的产品,而不是为了开展电子商务。这份名为“第二次企业互联网年度调查”是The Gallup Organization 为 Verizon信息服务公司提供的。
该研究发现,在已经建立自己网站的企业中,用于登广告和促销自己业务的比去年增长了123%(1999年为8%,2000年为21%),与此相反,用来销售产品的企业网站比去年同期减少了48%(1999年为25%,2000年为13%)。
已经建立网站的企业对于互联网将来对于业务可能产生的影响也十分关注,有65%的企业认为互联网将对业务的前景产生重要影响。
调查还发现,尽管许多企业尚未将互联网作为一种营销工具(只有27%的企业有网站),但是,那些可以上网的企业比没有接触互联网的竞争者具有一定的优势,他们通常可以接触到更多的商业信息,对互联网的理解也较深入,知道如何通过网络进行交易,并切对顾客和竞争者使用互联网的状况有更多了解。
现在已经建立网站的企业中,有55%的企业已经通过增加的收益收回了建站的投入,48%的企业达到或超过了预计的收益,这个比例在1999年只有33%。另外,57%的企业发现,建立一个网站并不是想象中的那么复杂。
例如:
·在有网站的企业中,认为自己的客户可以来自50英里之外的占48%,没有网站的企业,这一比例只有20%;
·如果按对互联网的一般理解程度从1到10分级的话,有网站的企业级别为8,而另外的为6;
·如果按对顾客和竞争者使用互联网的状况了解程度从1到10分级的话,有网站的企业级别为7,而另外的为不到5。
关于企业网站的作用,Patrick Marshall是这样评价的:“与已经上网的企业相比,还没有建立自己网站的企业具有一些不利的方面。我们相信互联网将或多或少为所有的企业带来好处,无论是用做营销工具,还是直接在线销售、了解商业信息、与顾客沟通或者购买产品等等方面,互联网都起到积极作用,网络的应用越来越容易,将会有更多的企业加入到电子商务的行列。”