Web应用系统开发作者于华作者提供_Web应用开发（十）课案.pptVIP

第十章 ASP.NET安全机制 提 纲 概述 1 用户登录 2 数据加密技术 3 数据库安全 4 实战演练 5 概述 在互联网技术非常普及的今天，网络的安全越来越成为一个重要的问题。 程序员在开发网站时，首先要考虑网络安全，防止： 非认证用户的登录 防止数据泄密 防止遭到远程攻击 2 用户登录 使用身份验证系统（如基于Forms、Windows等）创建用户账号，并把用户划分成多个角色（组），从而限制用户和组成员在网站上的活动。 网络上实现单点登录 防止SQL注入式攻击 验证码技术登录 2.1 防止SQL注入式攻击 SQL注入式攻击是指利用设计上的漏洞，在目标服务器上运行SQL命令以及进行其他方式的攻击，动态生成SQL语句时没有对用户输入的数据进行验证。 要防范SQL注入式攻击，应该注意以下几点： 检查输入的SQL语句的内容，如果包含敏感字符，则删除敏感字符，敏感字符包括’、、=、!、-、+、*、/、()、|和空格。（如SQL恒等式 ’or’1’=’1 ） 过滤非法字符（验证控件） 不要在用户输入过程中构造WHERE子句，应该尽量利用参数来使用存储过程。 3 数据加密技术 打开或得到数据库文件，也不能查看到数据库中的用户注册信息。 MD5加密登录用户名称和密码 加密与解密DataSet 加密与解密文件 4 数据库安全 数据库备份与恢复 防止Access数据