安全心得(2009-09-09)
来源:互联网 发布:seo最好的cms 编辑:程序博客网 时间:2024/05/21 07:54
1)输入框必须限制长度,够用就行,最好用正则表达式限制内容;
2)禁止输入<HTML>标记,ASP.NET默认设置是禁止的;
3)上传文件要严格限制类型和文件后缀,最好读取文件的头字节来判断;
4)数据库帐号不要和服务器密码相同,最好是有限权限;
5)不应该把系统提供的错误信息直接暴露给用户,包括没有捕捉的页面错误和捕捉到的ex.Message;
A.最保守的错误显示机制:在客户端只能看到发生错误提示修改CustomError的默认信息,在服务器端会显示具体的错误代码位置,
这也是ASP.NET默认的方式;
B.只捕捉已知的错误,然后显示给用户友好的提示,其他错误尝试写到服务器日志里等。
C.如果使用ex.Message直接显示给用户,可能暴露一些输入数据库帐号,表名,索引名称等等的关键信息。
6) 不要直接使用字符串构造SQL命令,应该用SQLDataSource等控件或着参数构造命令,它们会帮你过滤有威胁的字符;
7) 用Session 而不是Request,尽量不要暴露网页参数。并且一定要检查传递的参数,比如ID可以转换数字再转换成String使用;
8) 发布Web.Config的时候,应该删除编程时候本地连接服务器的连接串
9) 程序中用到的SELECT 跨数据库或跨服务器查询涉及的帐号应该权限最小,最好只读。
- 安全心得(2009-09-09)
- Nginx 安全加固心得
- 安全协议验证的研究心得- -
- 安全认证框架-Apache Shiro研究心得
- MySQL心得9--用户和数据安全
- 安全认证框架-Apache Shiro研究心得
- 安全认证框架-Apache Shiro研究心得
- 第一次学习信息安全的心得
- 安全认证框架-apache shiro研究心得
- https安全协议 ssl证书使用心得
- 《web应用安全权威指南》心得
- 从事信息安全行业的心得
- 安全更新 2004-09-10
- 09年软考系统分析师考试心得
- # MS CRM 08/09/2016心得
- CKEditor/CKFinder升级心得(转) 漏洞安全设置
- FMDatabaseQueue为何会线程安全的一点心得
- JMX监控tomcat的配置 银行安全系统的心得
- 主流的软件开发语言介绍
- 程序员,应该掌握的英语词汇
- SQL查询数据库表名
- 重读Effective C++的几点收获
- a:hover在IE6中的BUG
- 安全心得(2009-09-09)
- 李开复是我们中国的骄傲
- studio 2005 安装 WTL80
- 软件界面交互和易用性改进总结
- js操作ListBox实现多项的添加和删除
- Linux 平台上getopt函数在Windos平台上的的实现算法
- 将Excel中的数据导入数据中
- c#中SiteMap文件的创建及使用
- netbeans使用svn