网页制作与电子商务网站安全.doc

网页制作与电子商务网站安全.doc网页制作与电了商务网站安全[摘耍]网页制作是冃前比较流行的一种行业,它已经渗透到社会的各个角落,而电子商务网站屮网页制作技术应用的最多,木文主要从电了商务网站的安全隐患、网站安全现状、网站安全的措施与解决方案、电子商务发展等方面进行探讨,尤其对于网站安全的考虑,在编写网页代码吋,应注意的一些防范方法的介绍,以促进人们对网页制作屮的安全防范技术的了解。[关键词]网站安全脚本数据库交互一、 已渗透到了社会的各个领域,不仅影响着我们的学****和工作,的发展中,门新兴的技术,是介于平面设计、编程技术两者之间的一门学科,它还涉及到美学心理、平面构成、色彩搭配等平而设计方而的知识。只有综合运用多种知识,才能设计出视听特效、动静结合、人机交互的WEB页面。电子商务网站是一个非常丰富和方便的系统,很多是过去无法想像的,随着今天的社会的发展以及科学技术的发展,现在都口J以想像得到。由此可以想像到未來的网页设计,那时候网页设计的要求是什么呢?怎样才能适应电子商务的发展呢?我有以下儿点想法:网页能具有人性化;网页要具有相当的美感;网页更加强调交互性。二、 电了商务网站的安全现状电子商务网站安全主耍涉及网络信息的安全和网络系统本身的安全。电子商务网站安全的隐患主要來自操作系统、网络和数据库的脆弱性以及安全管理上的疏忽。电了商务网站安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。环境中会具冇特殊意义,如变虽定义/赋值/取值、非显示字符、运行外部程序等,而被列为危险字符。©CGI和Script编程语言的问题在儿种国内常'见的WEB编程语言中,ASP和ColdFusion脚本语言对特殊字符的过滤机制不够完善,例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密,如忽略或加上“\”(取消特殊字符含义)处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术,因此也可能存在安全问题。MicrosoftASP脚本普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。因此,如來攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表(如果可以猜测出已存在的表名),清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将s/语句的输出结果通过电子邮件发送给自己,或者执行系统命令。PHP和Perl虽然提供了加上丫’(取消特殊字符含义)处理的手段,但是处理一些数据库时依然可以被改写。对于MySQL则没有问题,\'不会与前面的单引号封闭,而当作一个合法的字符处理。针对omcle和Informix等数据库暂吋未进行相关测试。另外,对于PHP或者Perl语言,很多程序対于数字类型的输入变量,没有加单引号予以保护,攻击者就有町能在这种变量中加入额外的SQL语句,来攻击数据库或者获得非法控制权限。(2)数据库问题不同的数据库対安全机制的不同认识和实现方法,使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释,改写被执行的SQL语句,从而非法获得访问权限。大量数据查询导致拒绝服务许多网站对用户输入内容的判断