1. 防止页面注入
a) 限制所有页面输入框的输入格式、输入类型、输入长度以及输入字符。例如:禁止输入“‘”, ”;”等特殊字符,并限制输入数字的长度,对于输出的内容进行HtmlEncode格式化输出;
b) 页面程序需要过滤所有post或get请求中的参数信息中非法字符,对所有的QueryString信息过滤,对于每一个QueryString[“name”]都要加上AntiXss.HtmlEncode(queryString[“name”]),对QueryString进行编码。
注:AntiXSSLibrary.dll,是一个很好的过滤页面非法字符工具,它会将一些危险字符转换成安全的HTML编码内容。下载地址:http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f4cd231b-7e06-445b-bec7-343e5884e651
用法:使用AntiXss.HtmlEncode(“要进行格式化输出输入的内容”) 方法格式化输入和输出的HTML内容;
c) 做好网站的customError跳转页面。只要网站出现错误,则跳到404错误页面。可以避免别人根据你的错误提示,得到一些站点信息;
d) 服务器管理员应对IIS站点设置相应执行权限,特别是对于一些用户可以上传的资源文件夹,更应该合理分配执行修改权限,并避免使用everyone帐号权限;
e) 对于URL中出现一些特殊、危险的字符串,讲行提示并跳转到404页面。(如:Delete,update等这些特殊字符) ;
f) 加密web站点webconfig里的连接数据库字符串,防止被非法用户获取webconfig内容,从而攻陷数据库。
2. 防止SQL脚本注入
a) 在程序编码过程中,应杜绝SQL拼接的方式去写SQL语句,而用参数化的方式或者存储过程;
b) 权限限制,对数据库,存储过程等等进行权限限制。例如:对于一些只是查询,而不做其它操作的数据表,只给其查询的权限,这样更能杜绝一些通过非法SQL修改数据库表数据的操作。通过建两个数据库帐号进行读写分离的方式也是有效方法;
c) 避免使用SA帐号,来连接数据库;
d) 服务器应该过一段时间,就打一次补丁,及时修复系统和安全漏洞。