提高Web程序安全性的17种方法

提高Web程序安全性的17种方法

1.做程序规划时，把不同的文件类型放入不同的文件夹，如htm页放入Static文件夹，asp页放入Dynamic文件夹，inc及，mdb类型放入Include文件夹，以便对不同文件夹，设置不同的访问权限
2.设计数据库时，把不同的信息存入不同数据库中。这样即使其中一个数据库被攻破，保存在其它数据库中的信息还是安全的
3.设计数据库时，数据库的名称,表的名称，字段名称不要有规律,长度要长些,以防通过猜测去破解数据库
4.向数据库中插入数据时，要验证长度，以防数据溢出错误
5.对于ACCESS数据库，最好使用ODBC方式连接数据库。如果不用ODBC方式，对数据库的名名，不要有规率，长度要长，放入多层目录下，以防猜出数据库名称而进行下载。另一种解决方法,对.mdb类型的文件进行解析处理,如用asp.dll解析
6.对重要信息进行加密处理，如密码字段，找回密码的提示问题和答案。这样即使获得了你的数据库，也得不到敏感信息。
7.session变量名称不要有规律。防止猜出session变量名称，以进行session欺骗
8.对于表单页面,尽量减少用户的输入。对用户输入的内容要进行过滤，以防止利用SQL注入漏洞
9.对于获得的，用户提交的内容，或URL?后的内容，一定要进行过滤。过滤的字符包括';:,%--(注--为SQL语句中的注释符)
10.对于提交表单，多用post方式。获得表单内容，要用Request.form("")方式
11.对于获得的变量，是数字类型的一定要验证。是数字字母组合的，一定要验证为数字字母组合
12.对程序设计要考虑全面，进行尽可能多的错误处理。
13.多行文本框，要使用ubb标签，至少要过滤掉js语句
14.防止外部提交数据。可用要求用户输入验证码的方法解决。
15.上传文件图片的程序，要做严格限制，防止后门及病毒程序
16.参数欺骗。如可这样传参数url?p=adsfsf,p=adsfsf为无用参数
17.对用户的非法访问记录IP