盘锦网站建设过程的安全设计四原则:
安全原则1. 双重验证
有些系统只在客户端进行验证,这是很不安全的。因为在传输过程中有可能被恶意篡改,服务器得到的将不是真实的数据,或者直接在url中输验证请求,将会绕过客户端的验证程序,提交不安全的数据。因此,可以采用双重验证的方式,客户端的验证可以提高与用户的交互性,服务器端的验证保证数据的安全性。
安全原则2.用户身份验证
传统的用户验证过程如下:将客户端输入的验证信息进行md5加密形成“密文1”,发送到服务器端,服务器端从数据库读出验证信息的md5值(密文2),然后“密文1”与“密文2”对比,若相等则认证成功,否则失败。 但是,如果“密文1”在传输过程中被非法获取,非法用户即使不知道“密文1”的内容,直接向服务器发送“密文1”并请求验证,则验证可能成功,用户的真实性无法保证。因此,需要对用户的验证过程进行改进。在客户端请求验证的同时,通过ajax技术异步向服务器申请一个临时的验证码,客户端将用户信息进行n次md5混合运算后生成“密文1”,附加验证码一起发送到服务器,服务器首先检查验证码是否与服务器端一致,若一致,到数据库中检索是否存在“密文1”的用户,存在则成功,否则失败。验证码是改进后的验证关键,同时验证码还可以防止入侵者使用程序自动登录服务器,进行密码的暴力破解。因此,技术上要求不能被复制,不能被扫描仪自动识别,随机生成。采用模糊的图片方式才能达到要求。
安全原则3. 抗sql注入式攻击
sql注入式攻击是指在输入框或url中输入sql语句,绕过验证程序,非法获取用户的访问权,进行非法操作的入侵方式。防御sql注入式攻击的方法常用两种,一种是使用数据库管理系统的存储过程,另一种是对输入的信息和url请求信息中的敏感关键字过滤。
安全原则4.url请求验证
url请求验证是防止用户非法请求的一种方法。非法请求是用户直接向服务器发送url请求,在请求中传递一些非法参数,绕过系统的认证程序,以达到入侵者的非法目的。非法url请求是入侵系统的常用手段。因此,进行url请求的验证是提高系统安全性的一种有效方法。要实现url的请求验证,同样采用验证码的方式,当用户登录网站时,通过ajax技术异步向服务器发送申请验证码的请求,当打开网站的某一内容时,将内容打开请求信息与验证码一起发送到服务器,服务器进行验证码的核对,如果正确,则显示,否则拒绝服务。
《中的安全设计》是关于网站建设的知识性和技巧性文章,《网站建设中的安全设计》是为您提供的,希望《中的安全设计》能对您有所帮助!这些设计充分保证了网站的安全性,使站长们用的放心,也是程序员在设计的时候应该做的。