，一是留言版内容信息的过滤。二是用户名信息的过滤。程序设计中，对用户名的验证往往只是验证长度，没有验证JavaScript或者HTML的标记，这样就容易形成漏洞。三是Email信息的验证，Email信息往往也只验证是否含有“@”符号，其他没有限制，这容易形成两个漏洞：输入信息过长的内存溢出漏洞；含有JavaScript等字符信息，造成显示用户Email的时候形成页面炸弹等。四是搜索信息的验证。尽管搜索信息不会直接保存到网站服务器，但是，搜索信息却与数据库或者服务器所有文件密切相关，如果搜索信息有问题，很容易就会暴露一些本来不应该暴露的数据库信息或者文件信息。如果用户对程序比较了解，可设计一些很特别的搜索信息，检索他不应该检索的数据库表，例如用户账号密码表等。因此，一般要验证一些常见的用于数据库操作的语句，例如搜索信息是否含有“Select”等，这样来限制用户输入，避免信息的泄露。 
4.页面行为方式缺乏逻辑 
在网站中注册新用户的时候，一般会首先要求用户输入自己需要注册的账号信息，验证该账号是否已经存在，确保用户的单一性。如果用户的注册信息通过了“存在该账号”的检测，在编程的时候就认为这个账号一定不存在，可以注册，在注册页面中直接使用“nsertInto”语句将注册信息插入用户数据库。上述的问题是：将注册信息插入数据库之前，并没有再一次检查这个用户是否存在，而是信任前一个检测页面传来的账号信息。由于可以阅读和保存HTML文件的源代码，如果用户将注册通过的页面保存并且将上面的账号信息修改为一个已经存在的账号，由于程序认为该账号已经通过检测，直接将该账号插入数据库，原来拥有该账号的用户信息就被修改，造成用户信息流失、出错等情况的发生。如果这个账号刚好是一个管理员账号，结果将是很难预料的。 

使用以上错误方式编程的程序员很多，随便在网上找就可以找到很多这种方式编程的源代码和已经采用的程序。在电子商务初期，一些电子商务网站的程序中，存在着用户可以随意定义自己购买商品的价格这样的漏洞，也就是由页面行为方式缺乏逻辑造成的。 

当然，网站安全还包括比如服务器攻击、病毒攻击等方面，但这些方面基本都属于上文中介绍过的网络安全问题，另外由于篇幅问题许多细节问题也不在此累赘了。 

三、网站安全管理策略探讨 

1.网络安全的管理 

1.1使用防火墙 

防火墙作为使用最多，效率最高的网络安全产品自然有它自身的优势，所以防火墙在整个网络安全中的地位将是无可替代的。 

1.2与因特网接入处增设网络入侵检测系统 

入侵检测系统(IDS即IntrusionDetectSystem)是实时网络违规自动识别和响应系统，它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方，通过实时截获网络数据流，能够识别、记录入侵或破坏性代码流，寻找网络违规模式和未授权的网络访问，一经发现入侵检测系统根据系统安全策略做出反应，包括实时报警、自动阻断通信连接或执行用户自定义安全策略等。 
778论文在线 www.qiqi8.com/
1.3病毒防御 

选购杀毒软件，必须考虑产品的采购成本、应用(管理、维护)成本，以及将来企业或网络规模变化后，软件能否实现平滑过渡等问题。只有明确需求，重视产品的应用和管理，把网络防病毒纳入到信息安全防范体系之中进行综合防范，才能有效提升企业的信息安全水平。单纯防病毒，并不是企业的最终目标。 

当然，对于网络安全的防御目前比较成熟的技术相当多，我们只有认准适合自己的技术，并采用多种技术相互结合才能达到相应的目的，由于篇幅有限对于其他诸如身份认证、数字签名等技术的介绍就不在此累赘了。 

2.网站自身的安全管理 

2.1网站服务器的安全管理 

网站服务器的日常管理、维护工作包‘括网站服务器的内容更新、日志文件的审计、安装一些新的工具和软件、更改服务器配置、对服务器进行安全检查等。主要注意以下几点: 

①从网络结构设计上解决安全问题 

安装一个功能强大的防火墙可以有效防御外界对Web服务器的攻击，还可通过安装非法人侵监测系统，提升防火墙的性能，达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作，当有入侵者攻击时可以立刻有效终止服务。同时应限制非法用户对网络的访问，规定具有特定IP地址的客户机对本地网络服务器的访问权限，以防止从外界对网络服务器配置的非法修改。 

②定期对网站服务器进行安全检查 

由于网站服务器是对外开放的，容易受到病毒的攻击，所以应为服务器建立例行安全审核机制，利用漏洞扫描工具和IDS工具，加大对服务器的安全管理和检查。另外，随着新漏洞的出现，我们要及时为服务器安装各类新漏洞的补丁程序，从而避免服务器受到攻击和出现其他异常情况。 

③定期进行必要的数据备份 

对服务器上的数据定期进行备份是很重要的。网站的核心是数据，数据一旦遭到破坏，后果不堪设想。除了设置相应权限外，应建立一个正式的备份方案，而且随着网站的更新，备份方案也需要不断地调整。 

2.2数据库安全管理 

数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄密和破坏。为了保证业务应用系统后台数

上一页  [1] [2] [3]  下一页