[摘 要] 网页制作是目前比较流行的一种行业,它已经渗透到社会的各个角落,而电子商务网站中网页制作技术应用的最多,本文主要从电子商务网站的安全隐患、网站安全现状、网站安全的措施与解决方案、电子商务发展等方面进行探讨,尤其对于网站安全的考虑,在编写网页代码时,应注意的一些防范方法的介绍,以促进人们对网页制作中的安全防范技术的了解。
[关键词] 网站 安全 脚本 数据库 交互
一、引言
internet已渗透到了社会的各个领域,不仅影响着我们的学习和工作,在internet的发展中,/gongxue/">科学技术的发展,现在都可以想像得到。由此可以想像到未来的网页设计,那时候网页设计的要求是什么呢?怎样才能适应电子商务的发展呢?我有以下几点想法:网页能具有人性化;网页要具有相当的美感;网页更加强调交互性。
二、电子商务网站的安全现状
电子商务网站安全主要涉及网络信息的安全和网络系统本身的安全。电子商务网站安全的隐患主要来自操作系统、网络和数据库的脆弱性以及安全管理上的疏忽。电子商务网站安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为了保证网络的安全,必须保证以下四个方面的安全: 运行系统的安全;
网络上系统信息的安全; 网络上信息传播安全; 网络上信息内容的安全。
以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。
1.客户端数据的完整性和有效性检查
(1)特殊字符的过滤
在 w3c 的 /">参考。
1.防范脚本攻击
(1)js脚本和html脚本攻击的防范其实很简单,只要用server.htmlencode(str)就可以了。当然全以<%=uid%>过滤,为了方便的过滤,只需要将html脚本和js脚本中的几个关键字符过滤掉就可以了,如下代码所示:
以下是过滤函数chk()
<%
function chk(fqystring)
fqystring = replace(fqystring, “>”, “>”)
fqystring = replace(fqystring, “<”, ”<“)
fqystring = replace(fqystring, “&#”, “&”)
fqystring = replace(fqystring, chr(32), “ ”)
fqystring = replace(fqystring, chr(9), “ ”)
fqystring = replace(fqystring, chr(34), “”“)
fqystring = replace(fqystring, chr(39), ”‘“)
fqystring = replace(fqystring, chr(13), ”“)
fqystring = replace(fqystring, chr(10) & chr(10), ”</p><p> “)
fqystring = replace(fqystring, chr(10), ”<br> “)
chk = fqystring
end function
%>
(2)很多站点在用户注册,或者是用户资料修改的页面上也缺少脚本的过滤,或者是只在其中之一进行过滤,注册进入后修改资料仍然可以进行脚本攻击。对用户提交的数据进行检测和过滤如以下代码:
if instr(request(”username“),”=“)>0 or
instr(request(”username“),”%“)>0 or
instr(request(”username“),chr(32))>0 or
instr(request(”username“),”?“)>0 or
……
instr(request(”username“),”>“)>0 or
instr(request(”username“),”<“)>0 or
instr(request(”username“),”“”“)>0 then
response.write ”朋友,你的提交用户名含有非法字符,请更改,谢谢合作 <a href=’****:window.history.go(-1);‘>返回</a>“
response.end
end if
2.防范sql injeciton攻击
从最一般的.sql injection 漏洞攻击来看,主要在用户名和密码上的过滤问题,提交:用户名为:‘or’‘=’ 用户密码为:‘or’‘=’从程序出发,数据库在执行以下操作sql=“ select * from lusers where username=”or“=” and password = “or”=“”时,sql 服务器将返回lusers表格中的所有记录,而asp脚本将会因此而误认为攻击者的输入符 lusers表格中的第一条记录,从而允许攻击者以该用户的名义登入网站。对此类注入的防范可以利用以下代码就可以实现strusername = replace(request.form(“username”), “‘’”, “‘’‘”)
strpassword = replace(request.form(“password”), “’‘”, “’‘’‘”)
3.防止asp木马
防止asp木马被上传到服务器的方法很简单,如果你的论坛支持文件上传,请设定好你要上传的文件格式,我不赞成使用可更改的文件格式,直接从程序上锁定,只有图象文件格式和压缩文件就完全可以,因为多给自己留点方便也就多给攻击者留点方便。怎么判断格式,如下面代码所示:
判断文件类型是否合格
private function checkfileext (fileext)
dim forumupload
forumupload=”gif,jpg,bmp,jpeg“
forumupload=split(forumupload,”,“)
for i=0 to ubound(forumupload)
if lcase(fileext)=lcase(trim(forumupload(i))) then
checkfileext=true
exit function
else
checkfileext=false
end if
next
end function
上述介绍的一些安全防范的方法在编写网页代码时被常用到,这些代码还是较为基本的一些代码,但能有效的防止一些黑客的攻击,当然加入了这些代码可能会降低程序的使用效率。做为一名网站的管理人员或网页制作人员在进行网页制作和网站维护时应加强安全防范的意识,确保在网络上进行数据传输的可靠性。
总之,随着网页制作的技术不断的发展和提高,对电子商务的发展有着不可估量的推进作用,对于网站的安全防范已经成为目前发展电子商务最需考虑的一个问题之一,在开发网站中应注意在网络安全方面的考虑。目前如jsp、asp、php、xml等一些网站新技术融入网页制作中,进一步提高了网页的性能。随着新的技术的推出,我相信网页制作的发展会把我们带入一崭新的信息世界。
参考文献:
林 海 杨晨光等编写:计算机网络安全.上海:高等教育出版社