安全心得(2009-09-09)

1）输入框必须限制长度，够用就行,最好用正则表达式限制内容；
2）禁止输入<HTML>标记,ASP.NET默认设置是禁止的；
3）上传文件要严格限制类型和文件后缀，最好读取文件的头字节来判断；
4）数据库帐号不要和服务器密码相同，最好是有限权限；
5）不应该把系统提供的错误信息直接暴露给用户，包括没有捕捉的页面错误和捕捉到的ex.Message；
   A.最保守的错误显示机制:在客户端只能看到发生错误提示修改CustomError的默认信息，在服务器端会显示具体的错误代码位置，
   这也是ASP.NET默认的方式；
   B.只捕捉已知的错误，然后显示给用户友好的提示，其他错误尝试写到服务器日志里等。
   C.如果使用ex.Message直接显示给用户，可能暴露一些输入数据库帐号，表名，索引名称等等的关键信息。
6) 不要直接使用字符串构造SQL命令，应该用SQLDataSource等控件或着参数构造命令，它们会帮你过滤有威胁的字符；
7) 用Session 而不是Request，尽量不要暴露网页参数。并且一定要检查传递的参数，比如ID可以转换数字再转换成String使用；
8) 发布Web.Config的时候，应该删除编程时候本地连接服务器的连接串
9) 程序中用到的SELECT 跨数据库或跨服务器查询涉及的帐号应该权限最小，最好只读。