基于编程漏洞的网页制作研究.docVIP

基于编程漏洞的网页制作研究 　　【摘 要】随着社会的不断发展，互联网技术也在不断进步。编程技术对于网页的制作来说至关重要。为此，本文将从编程漏洞及其类型的角度出发详细阐述网页治国过程中的常见问题，通过对编程漏洞成因性质的分析，得到相应的建议对策，以期能够为业内的研究和应用者提供帮助和借鉴。 　　【关键词】编程漏洞 网页制作 研究 　　随着社会的进步和网络技术的发展，越来越多的业内人士开始关注网页的制作，关注网页制作过程中的编程漏洞问题。下文将针对编程漏洞问题进行研究，分别对其类型和形成原因进行介绍。 　　一、编程漏洞的类型 　　在对网页的研究时，一般首先接触到的就是对网页进行编程。这一问题与其他常见的知识点一样，经常会被忽视，进而出现很多漏洞，影响制作效果。为此，我们必须弄清这些小错误和漏洞，了解它们的产生原因和过程。在进行网页编程时，虽然出现的漏洞一般比较多，这样的实例也屡见不鲜，但是由于这些漏洞之间往往存在一些共性，所以我们可以通过归纳出一些共同点来研究，具体可以分类如下： 　　（一）用户输入验证不全面。在进行网站的编程设计过程中，工作人员必须把握一个原则，不能对用户输入的用户名和密码完全的信任，要持有怀疑的态度。在用户输入了用户名密码后不能直接采用，而是经过严格的验证，保证所输入的信息符合规则才能录入到数据库中，针对这一问题，主要有以下几个方面： 　　1.输入信息长度验证。对输入信息长度的验证是一个经常被忽视的地方，编程人员普遍认为用户不会将输入的信息故意过分延长，即便是有用户这样输入也不会产生危害。但是，作为研究人员我们发现，如果不对输入信息进行验证会出现很大的问题。有时用户输入的信息达到几个兆，一旦冲过的验证的环节，就可能导致过分占用内容容量以及程序出错等问题出现，严重时可能导致内存溢出，进而产生服务器故障或关机。 　　2.输入信息敏感字符检查。对于用户输入的敏感字符一版程序设计时都会注意到，但往往注意的程度不够，为此笔者总结了一下五点需要检查的要点，供读者参考： 　　首先，设计留言板的时候，要对“”等符号的信息进行验证，去除特殊字符以免用户留下页面炸弹，关注JavaScript的敏感字符，对用户的留言板内容进行过滤和筛选，这也是最常见的问题。 　　其次，要对用户名的信息进行过滤。通常编程人员只注意到了对用户名的长度进行验证，而忽略了对HTML 的标记或JavaScript的验证。有时尽管用户名可以通过验证，但是美观性很低，会影响网页的整体效果。更有甚者连用户名的长度都不进行验证，这样就会产生更多的问题。 　　再次，当我们对Email信息进行验证时，一般都只验证是否包含“@”符号，没有对其他信息进行限制，有时会产生信息过程导致的内存溢出，有时会包含JavaScrript字符信息危害页面安全等问题，这些都需要注意。 　　最后，在验证搜索信息时也要格外注意。尽管搜索信息不会保存到所在的服务器上，但是会影响到服务器上的文件，容易暴露文件信息和数据库信息。另外，存在一些用户对程序十分的了解，通过特别的搜索信息设计，检索无权限浏览的信息，因此，在搜索信息验证时，要有特定的限制信息，防止用户越权操作。 　　（二）页面行为方式缺乏逻辑。对于页面逻辑的问题往往比较难被人接受。例如，当新用户注册时，往往需要首先键入用户名进行核查看是否与已有的用户名重复，保证用户名的唯一性，这样的操作过程尽管比较合乎情理，但是会产生用户信息出错和流失的问题。具体过程一般是这样的，当用户检测了该账号时，如果账号不存在，即可以进行注册，此时，漏洞就出现了。再将注册信息输入到数据库时，没有对反馈后重新键入的用户名进行再次验证，如果用户在检测成功之后更改成了与系统数据库已有相通的用户名，就会导致数据库中的用户被删除或更改了。如果恰逢这样的账号是管理员账号就会产生更多的问题。这种情况从当前网络上的应用来看是普遍存在的。 　　（三）编程方式不成熟。对于编程者来书，往往忽略一些漏洞的产生，这主要是因为经验问题，而不是因为没有注意。为此，编程人员要多了解网络攻击的特点和方式，相应的修改和加固程序。 　　（四）没有基于内容的检测。基于内容的检测是编程者经常没有重视的问题。从国家法律的角度来看，网站设计完成之后在技术完善的同时还要适应国家法律，以防不法分子别有用心的利用网站发布不良信息。例如：不文明用语、敏感词汇、国家领导人相关字眼以及一些与国家政治相关的词汇等等。这并不代表全部的禁止，而是结合网站的用途和网站使用环境来灵活设定，进行合适的过滤和禁止。 　　二、编程漏洞的形成 　　想要了解编程漏洞必须对网页编程认识全面，下面我们将介绍网页编程的特点。 　　（一）网页编程交互性强。为了更好地管理网站资源，在进行网站设计时往往采用各