永远不要相信用户输入的内容具有适当的大小或者包含适当的字符。在使用其做出决策之前应该始终对用户输入进行验证。最佳的选择是创建一个 COM+ 组件,这样您可以从 ASP 页面中调用该组件来验证用户的输入内容。您也可以使用 Server.HTMLEncode 方法、Server.URLEncode 方法,或者本页底部代码示例中的某一个。
不要通过连接用户输入的字符串来创建 ASP 页中的数据库连接字符串。恶意用户可以通过在他们的输入内容中插入代码来获取数据库的访问权限。如果您使用的是 SQL 数据库,那么请使用存储过程创建数据库连接字符串。
不要使用默认的 SQL 管理员帐户名 sa。每个使用 SQL 的用户都知道存在 sa 帐户。创建具有安全可靠密码的其他 SQL 管理帐户,并删除 sa 帐户。
在您存储客户端用户密码之前,请对这些密码使用哈希算法、进行 base64 编码,或者使用 Server.HTMLEncode 或者 Server.URLEncode 进行编码。您还可以使用本页底部的某个代码示例验证客户端密码中的字符。
不要把管理帐户名或密码放置在管理脚本或 ASP 页中。
不要根据请求标题在代码中做出决策,因为标题数据可以被恶意用户伪造。在使用请求数据前,始终要对其进行编码或者使用下面的代码示例验证其所包含的字符。
不要将安全数据存储在 Cookie 中或者将输入字段隐藏在网页中。
始终将安全套接字层 (SSL) 用于基于会话的应用程序,以避免未对会话 Cookie 进行加密就发送它们所带来的风险。如果会话 Cookie 没有经过加密,则恶意用户可以使用一个应用程序中的会话 Cookie 进入到与之在同一进程中的另一个应用程序。
当编写 ISAPI 应用程序、筛选器或者 COM+ 对象时,请注意由于变量和数据的大小而造成的缓冲区溢出。还要注意可能由于解释造成的规范化问题,例如将绝对路径名解释成相对路径名或 URL。
当在单线程单元 (STA) 内运行的 ASP 应用程序切换到多线程单元 (MTA) 内时,模拟令牌将过时。这可能导致应用程序在无模拟的情况下运行,让其用可能允许访问其他资源的进程的标识有效地运行。如果您必须切换线程模型,请在进行更改之前,先禁用该应用程序并将其卸载。
代码示例
本代码示例包含了一个函数,它可删除发送至该函数的字符串中的可能有害的字符。在上面的两个示例中,指定代码页以确保正确地编码。下面的示例使用的是 Microsoft Visual Basic? Scripting Edition(VBScript):
<%@ LANGUAGE="VBScript" %>
<%
Response.CodePage = 1252
Response.Write("Hello, " & RemoveBadCharacters(Request.Form("UserName")))
Response.Write("<BR>This is why you received an error:")
Function RemoveBadCharacters(strTemp)
Dim regEx
Set regEx = New RegExp
regEx.Pattern = "[^\s\w]"
regEx.Global = True
RemoveBadCharacters = regEx.Replace(strTemp, "")
End Function
%>
下面的示例使用的是 Microsoft JScript?:
<%@ LANGUAGE="JScript" %>
<%
Response.CodePage = 1252;
Response.Write("Hello, " + RemoveBadCharacters(Request.Form("UserName")));
Response.Write("<BR>This is why you received an error:");
function RemoveBadCharacters(strTemp) {
strTemp = strTemp.replace(/[^\s\w]/g,"");
return strTemp;
}
%>
ASP开发网页牢记注意事项
2019-10-18 11:23asp技术网 ASP教程
永远不要相信用户输入的内容具有适当的大小或者包含适当的字符。在使用其做出决策之前应该始终对用户输入进行验证。最佳的选择是创建一个COM+组件,这样您可以从ASP页面中调用该组件来验证用户的输入内容。您也可以使用
延伸 · 阅读
- 2019-10-17ASP开发中可能遇到的错误信息中文说明大全(整
- 2019-06-17用ASP开发网页需要牢记的注意事项
精彩推荐
- ASP教程
ASP基础入门第七篇(ASP内建对象Response)
这篇文章主要介绍了ASP内建对象Response的相关资料,需要的朋友可以参考下...
- ASP教程
ASP获取新增记录ID值的方法
这篇文章主要介绍了ASP获取新增记录ID值的方法,分别介绍了ASP+Access2000、ASP+SQL Server 2000两种数据库的获取方法,需要的朋友可以参考下...
- ASP教程
asp实现读取数据库输出json代码
这篇文章主要介绍了asp实现读取数据库输出json代码的方法的相关资料,需要的朋友可以参考下...
- ASP教程
ASP文件中的安全问题
ASP具有简单、易用、多功能,可扩充性等强大功能,但也存在一些问题。譬如,如果使用ASP的话,可能会导致网络的安全性大大降低了! ...
- ASP教程
解决ASP中http状态跳转返回错误页的问题
这篇文章主要介绍了ASP中http状态跳转返回错误页的问题的解决方法,感兴趣的小伙伴们可以参考一下...
- ASP教程
可用的ASP无重复数字随机函数, 数组实现, 并应用于随机显示记录
经服务器之家站长测试可用的ASP无重复数字随机函数,数组实现,并应用于随机显示记录集 作用: 本函数适用于随机显示小数量的随机不重复数字 本函数适用...
- ASP教程
通过表单的做为二进制文件上传request.totalbytes提取出上传的二级
通过表单的做为二进制文件上传request.totalbytes提取出上传的二级制数据的代码说明。...
- ASP教程
asp连接SQL和Access数据代码(asp里的随机函数)
asp连接SQL和Access数据代码,asp里的随机函数,需要的朋友可以参考下...