错误处理 -[构建错误处理机制]
2013-03-02 22:57
218 查看
导读:本章通过一个用户留言程序引出了用户输入带来的安全隐患和隐患之一的SQL注入的防范措施。
详细:
-SQL注入,例如,一个输入框,插入用户输入留言数据:
用户输入了:go die);TRUNCATE tbl_name
可以预见将要发生的事儿。
-代码注入
-跨站点攻击(XSS)
-穷举合法用户输入的合法数据
-测试边界、非预期的输入数据
在这个构建过程中,需注意:
-使用友好的格式化错误信息提示
-简化非法数据处理,就是不要试图去修复错误数据
-记录非预期输入数据,帮助分析程序的非法数据,帮助提高安全防范措施
-简化系统的使用方法(比如封装到一个类中,方便其他程序调用)
详细:
1 安全隐患
一个应用程序,如果没有任何的防范措施——针对用户输入,将带来如下安全隐患:-SQL注入,例如,一个输入框,插入用户输入留言数据:
$sql_ins = "INSERT INTO tbl_name (user_id, comment) VALUES " . "({$_SESSION['user_id']}, {$_POST['comment']})";
用户输入了:go die);TRUNCATE tbl_name
可以预见将要发生的事儿。
-代码注入
-跨站点攻击(XSS)
2 防御措施
构建错误处理系统。主要有:-穷举合法用户输入的合法数据
-测试边界、非预期的输入数据
在这个构建过程中,需注意:
-使用友好的格式化错误信息提示
-简化非法数据处理,就是不要试图去修复错误数据
-记录非预期输入数据,帮助分析程序的非法数据,帮助提高安全防范措施
-简化系统的使用方法(比如封装到一个类中,方便其他程序调用)
相关文章推荐
- asp.net四种错误处理机制
- VC错误的处理机制-------《windows核心编程》读书笔记(1)
- ASP.NET的错误处理机制(转)
- PHP5的异常处理机制[2]--PHP5之前的错误处理之trigger_error()
- PHP中的错误处理、异常处理机制
- 【spring-boot】spring-boot-错误处理机制
- 错误处理机制跳转错误页面
- Alfresco中的错误机制处理
- java回顾之错误处理机制
- 【zookeeper】错误处理机制
- 统一处理jquery ajax请求过程中的异常错误信息的机制
- php异常、错误处理机制
- NFS setattr操作错误处理机制
- PHP5的异常处理机制[3]--PHP5之前的错误处理--返回Error flag(错误标记)
- .net错误处理机制
- PHP中的错误处理、异常处理机制详解
- PHP5的异常处理机制[2]--PHP5之前的错误处理之die()
- PHP5的异常处理机制[4]--PHP5之前的错误处理--返回Error flag(错误标记)
- 利用汽车车内CAN总线错误处理机制实现DoS攻击
- PHP——7错误处理机制介绍