解決登錄驗證安全缺陷
 
很多網(wǎng)站在進(jìn)行用戶(hù)登錄時(shí)，多會(huì )使用人機交互界面完成登錄驗證。而網(wǎng)站的設計者對驗證程序沒(méi)有做到全面的考慮，這樣很容易產(chǎn)生登錄驗證安全缺陷，造成 Script Language編寫(xiě)程序在對用戶(hù)賬號密碼進(jìn)行驗證工作時(shí)出現問(wèn)題。


 
針對登錄驗證安全缺陷這個(gè)問(wèn)題，可以通過(guò)下面的方法解決:首先在注冊用戶(hù)名和密碼時(shí)添加注冊限制對于非法的用戶(hù)名和密碼不準申請；其次，在利用SQL語(yǔ)句進(jìn)行登錄查詢(xún)時(shí)，我們可以先過(guò)濾用戶(hù)輸入的信息，在一定程度上防止非法賬號及密碼的應用；接下來(lái)，在進(jìn)行用戶(hù)驗證時(shí)，不急于對用戶(hù)名和密碼同時(shí)進(jìn)行匹配，而是先對用戶(hù)名進(jìn)行驗證，等用戶(hù)名匹配成功之后，再進(jìn)行密碼的驗證工作。這樣可以減少查詢(xún)時(shí)間，提高查詢(xún)效率。
 
SQL注入漏洞的預防
 
SQL語(yǔ)言是網(wǎng)站設計中必不可少的后臺數據庫語(yǔ)言。在SQL語(yǔ)言中有一些特殊字符如“*”等，這些特殊字符是為了完成模糊匹配的?？捎行┚W(wǎng)站設計人員在網(wǎng)站設計初始，沒(méi)有考慮到SQL語(yǔ)言的書(shū)寫(xiě)規范和特殊字符的應用，產(chǎn)生SL注入漏洞，導致攻擊者通過(guò)表單提交中的全局變量GET和POST把SQL語(yǔ)句提交并執行。
 
針對于這一問(wèn)題，具體的解決方法包括:可以打開(kāi)配置文件中的 magc_ quotes_spe和 mage_ quotes_ runtime的設置；設置 resister globals為of；關(guān)閉全局變量注冊；最后，在給數據庫和數據表字段進(jìn)行命名時(shí)，特別是一些重要字段命名時(shí)，不要取一些很容易被猜到的名字。例如“姓名”字段最好不要命名為name”字段。
 
文件上傳漏洞的解決方案
 
文件上傳漏洞產(chǎn)生的原因主要是攻擊者通過(guò)網(wǎng)站上提供的“上傳文件"功能，把一些惡意的可執行文件上傳至服務(wù)器，并通過(guò)它獲得對服務(wù)器的控制權?？梢酝ㄟ^(guò)下面幾個(gè)方面來(lái)解決文件上傳漏洞:首先把文件上傳的目錄設置為不可執行，這樣一來(lái)，此目錄只能存放文件，不能做其它操作；其次，文件類(lèi)型的判斷。要對上傳的文件進(jìn)行判斷，可執行文件等特殊類(lèi)型的文件不可以上傳保存；最后，使用隨機數改寫(xiě)文件名和文件路徑；單獨設置文件服務(wù)器的域名。
 
Web安全加固
 
針對網(wǎng)頁(yè)改的攻擊方法多種多樣。如果想要網(wǎng)頁(yè)不被纂改，最直接的方法就是在設計網(wǎng)頁(yè)時(shí)采取一定的措施來(lái)避免被簒改的網(wǎng)頁(yè)從服務(wù)器中流出去。同時(shí)，加固網(wǎng)頁(yè)使其不容易被修改。前者我們可以使用硬件的方式來(lái)實(shí)現。而后者，我們可以通過(guò)網(wǎng)頁(yè)設計和應用程序來(lái)實(shí)現。到目前為止兩種防護功能的相互整合程度還不是很高。在現今不斷發(fā)展的信息技術(shù)時(shí)代，網(wǎng)絡(luò )無(wú)處不在，我們的很多信息都是通過(guò)網(wǎng)站獲得，所以網(wǎng)站技術(shù)就成了項很重要的內容。網(wǎng)頁(yè)設計中經(jīng)常使用的服務(wù)器端設計程序主要包括 Active Server Page、 Hypertext reprocessor、 Java Server Pages等腳本語(yǔ)言，正是這些腳本語(yǔ)言為網(wǎng)站開(kāi)發(fā)提供了平臺。利用ASP、PHP、JSP等腳本語(yǔ)言搭建的網(wǎng)站后臺程序，不論是程序開(kāi)發(fā)階段，還是程序后期維護階段，對于設計開(kāi)發(fā)人員來(lái)說(shuō)都非常的高效、便捷，而且實(shí)現起來(lái)也是比較容易的。一個(gè)功能健全而使用安全的網(wǎng)站所涉及到的程序內容有很多，又因網(wǎng)頁(yè)設計的特殊性，使得利用表單等功能實(shí)現的人機交互更為頻繁，用戶(hù)輸入什么信息內容是網(wǎng)頁(yè)設計者無(wú)法預測的，此時(shí)網(wǎng)頁(yè)設計中安全隱患就會(huì )暴露出來(lái)，用戶(hù)的輸入內容就有可能對網(wǎng)站造成不同程度的攻擊。在網(wǎng)站設計的過(guò)程中，除了上面介紹的幾種安全缺陷以外，還有很多其它的安全缺陷。因此，在建設網(wǎng)站時(shí)一定要多多注意網(wǎng)站的安全性，請在完成網(wǎng)站設計功能的基礎上，在一定程度上注意提高網(wǎng)站的安全性。