让ＡＳＰ技术更加安全.docVIP

让ＡＳＰ技术更加安全 　　摘要:ASP技术在网页制作中的广泛使用,使得人们忽视了它的一些安全问题。该文提出了ASP在使用中会遇到的一些安全问题,也给出了解决方案。 　　关键词:ASP;漏洞;防护措施 　　中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2009)15-3909-02 　　 　　ASP Technology to Enable More Secure 　　WANG Qiu-yi 　　(Modern Education Technology CenterAnhui University of Finance and Economics,Bengbu 233000 ,China) 　　Abstract: ASP technology in the production of a wide range of website use, led to the neglect of some of its security problems. In this paper, the ASP will be encountered in the use of a number of security issues, but also gives the solution. 　　Key words: ASP; Loophole; Protective measures 　　 　　在互联网高速发展的今天,网页制作已经成为一个新型的课题。从早期的静态网页到后来的动态网页,网页制作的技术已经发展到一个很高的层次,这些动态网页的出现使得WEB页面可以方便地传播动态信息。在目前,比较流行的有ASP、PHP和JSP程序设计语言所编辑的动态页面。从总的方面来说,ASP、PHP和JSP基本上都是把脚本语言嵌入HTML文档中,它们最主要的优点是:ASP学习简单,使用方便;PHP软件免费,运行成本低;JSP多平台支持,转换方便。在目前的大多数的网站建设中用的最多的还是ASP技术,ASP(Active Server Pages)是一种由微软开发的免编译的服务器端脚本环境。它将HTML页面,Scripts语言和动态服务器扩展结合在一起,可以建立动态,交互且高效的WEB服务器应用程序。 　　 　　1 ASP的特点 　　 　　使用VBScript、javaScript等简单易懂的脚本语言,结合HTML代码,即可快速地完成网站的应用程序。 　　无须编译,可以直接解释执行。 　　使用普通的文本编辑器即可进行页面的编辑与设计。 　　独立浏览器,用户端只要使用可执行HTML代码的浏览器,即可浏览ASP所设计的网页内容。 　　ASP能与任何ActiveX Scripting语言相容。 　　源程序不会外漏,ASP脚本是在服务器上执行,不会被传到客户浏览器,因而可以避免所写的源程序被他人剽窃,也提高了程序的安全性。 　　面向对象。ActiveX Server Components具有无限可扩充性。 　　 　　2 ASP的工作原理 　　 　　1) 用户向浏览器地址栏输入网址,默认页面的扩展名是.asp。 　　2) 浏览器向服务器发出请求。 　　3) 服务器引擎开始运行ASP程序。 　　4) ASP文件按照从上到下的顺序开始处理,执行脚本命令,执行HTML页面内容。 　　5) 页面信息发送到浏览器。 　　 　　3 ASP技术在网页中的安全隐患和防护措施 　　 　　3.1 SQL注入式攻击 　　SQL注入就是客户端提交特殊的代码,从而收集程序及服务器的信息,获取想得到的资料。由于ASP程序员在编写程序时不规范,代码存在漏洞,动态生成sq1命令时没有对用户输人的数据进行验证而受到攻击。例如,在测试中,输入一个已经存在的用户名:administrator,密码输人“1’or‘1’ =‘1”,单击登录按钮,非法登录成功。 　　防范措施: 　　只有用户名和密码完全正确才能通过验证。另外,编写代码时在处理类似留言板、论坛等输人框的ASP程序中,最好屏蔽掉HTML、Javasc印t、vBScriPt语句,并且要对输人的字符进行限制,特别是一些特殊字符,比如单引号、双引号、分号、逗号、冒号、连接号等进行转换或者过滤,同时也应对输人的字符长度进行限制。而且要在客户端进行输人合法性检查,同时要在服务器端程序中进行类似检查。 　　还有一种方法就是先查询用户名,再进行密码验证,将这一段验证代码 　　SqlConnection MyConnection=new SqlConnection 　　(ConnectionString); 　　Strsql =Select * from用户帐号where