|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
实现规模效益。与传统的用户拥有硬件软件所有权和使用权以及传统的应用服务商提供一对一的服务模式不同,ASP拥有应用系统所有权,用户拥有使用权,应用系统集中放在ASP的数据中心中,集中管理,分散使用,以一对多的租赁的形式为众多用户提供有品质保证的应用技术服务,实现规模效益。网页永久不要信任用户输出的内容具有得当的巨细大概包括得当的字符。在利用其做出决议之前应当一直对用户输出举行考证。最好的选择是创立一个COM+组件,如许您能够从ASP页面中挪用该组件来考证用户的输出内容。您也能够利用Server.HTMLEncode办法、Server.URLEncode办法,大概本页底部代码示例中的某一个。
不要经由过程毗连用户输出的字符串来创立ASP页中的数据库毗连字符串。歹意用户能够经由过程在他们的输出内容中拔出代码来猎取数据库的会见权限。假如您利用的是SQL数据库,那末请利用存储历程创立数据库毗连字符串。
不要利用默许的SQL办理员帐户名sa。每一个利用SQL的用户都晓得存在sa帐户。创立具有平安牢靠暗码的其他SQL办理帐户,并删除sa帐户。
在您存储客户端用户暗码之前,请对这些暗码利用哈希算法、举行base64编码,大概利用Server.HTMLEncode大概Server.URLEncode举行编码。您还可使用本页底部的某个代码示例考证客户端暗码中的字符。
不要把办理帐户名或暗码安排在办理剧本或ASP页中。
不要依据哀求题目在代码中做出决议,由于题目数据能够被歹意用户假造。在利用哀求数据前,一直要对其举行编码大概利用上面的代码示例考证其所包括的字符。
不要将平安数据存储在Cookie中大概将输出字段埋没在网页中。
一直将平安套接字层(SSL)用于基于会话的使用程序,以免未对会话Cookie举行加密就发送它们所带来的风险。假如会话Cookie没有经由加密,则歹意用户可使用一个使用程序中的会话Cookie进进到与之在统一历程中的另外一个使用程序。
当编写ISAPI使用程序、选择器大概COM+工具时,请注重因为变量和数据的巨细而酿成的缓冲区溢出。还要注重大概因为注释酿成的标准化成绩,比方将相对路径名注释成绝对路径名或URL。
当在单线程单位(STA)内运转的ASP使用程序切换到多线程单位(MTA)内时,摹拟令牌将过期。这大概招致使用程序在无摹拟的情形下运转,让其用大概同意会见其他资本的历程的标识无效地运转。假如您必需切换线程模子,请在举行变动之前,先禁用该使用程序并将其卸载。
代码示例
本代码示例包括了一个函数,它可删除发送至该函数的字符串中的大概无害的字符。在下面的两个示例中,指定代码页以确保准确地编码。上面的示例利用的是MicrosoftVisualBasic |
|