网站建设中安全设计的四大原则
网站建设中安全设计的四大原则:
安全原则1。双重验证。
有些系统只在客户端认证,非常不安全。因为在传输过程中可能被恶意篡改,服务器不会得到真实数据,或者直接在URL中输入认证请求,会绕过客户端的认证程序,提交不安全的数据。因此,可以采用双重认证。客户端认证可以改善与用户的交互,服务器认证可以保证数据的安全性。
安全原则2。用户认证。
传统的用户认证过程如下:客户端输入的认证信息经过MD5加密形成“密文1”,发送给服务器。服务器从数据库中读取认证信息的MD5值(密文2),然后将密文1与密文2进行比较。如果相等,则认证成功,否则认证失败。但如果“密文1”是在传输过程中非法获取的,即使非法用户不知道“密文1”的内容,也会直接向服务器发送“密文1”请求验证,那么验证可能会成功,用户的真实性无法保证。因此,有必要改进用户认证过程。当客户端请求身份验证时,它通过Ajax技术异步地向服务器申请一个临时的身份验证代码。客户端对用户信息进行n次MD5混合运算,生成“密文1”,与认证码一起发送给服务器。服务器首先检查认证码是否与服务器一致。如果是,则在数据库中搜索是否有“密文1”的用户,如果存在,则成功,否则失败。验证码是改进验证的关键。同时验证码可以防止入侵者利用程序自动登录服务器,从而暴力破解密码。所以技术要求不能复制,不能由扫描仪自动识别,不能随机生成。模糊图片可以满足要求。
安全原则3。抵抗SQL注入攻击。
SQL注入攻击是指在输入框或URL中输入SQL语句,绕过验证程序,非法获取用户访问权限,进行非法操作的入侵方式。抵御SQL注入攻击的方法有两种,一种是使用数据库管理系统的存储过程,另一种是过滤输入信息和URL请求信息中的敏感关键字。
安全政策4。URL请求验证。
URL请求验证是一种防止用户提出非法请求的方法。非法请求是指用户直接向服务器发送URL请求,在请求中传递一些非法参数,绕过系统的认证程序,达到入侵者的非法目的。非法URL请求是入侵系统的常见手段。因此,验证URL请求是提高系统安全性的有效方法。为了验证URL的请求,还采用了验证码。当用户登录网站时,对验证码的请求通过Ajax技术异步发送到服务器。当网站的某个内容被打开时,内容打开请求信息与验证码一起被发送到服务器。服务器检查验证码,如果正确则显示;否则,它拒绝服务。