ينصح ملاحظات على صفحات الويب الخاصة بتطوير ASP من مدونة Rainman_Net
الكلمات الرئيسية ASP على شبكة الإنترنت يهم أن تضعها في الاعتبار
مصدر
لا تصدق أبدًا أن المحتوى الذي أدخله المستخدم هو الحجم الصحيح أو يحتوي على الأحرف الصحيحة. يجب دائمًا التحقق من صحة مدخلات المستخدم قبل استخدامه لاتخاذ القرارات. الخيار الأفضل هو إنشاء مكون COM+ حتى تتمكن من الاتصال به من صفحة ASP للتحقق من إدخال المستخدم. يمكنك أيضًا استخدام طريقة server.htmlencode ، أو طريقة server.urlencode ، أو أحد أمثلة التعليمات البرمجية في أسفل هذه الصفحة.
لا تقم بإنشاء سلاسل اتصال قاعدة البيانات في صفحات ASP عن طريق توصيل السلاسل التي أدخلها المستخدم. يمكن للمستخدمين الخبيثين الوصول إلى قاعدة البيانات عن طريق إدخال رمز في مدخلاتهم. إذا كنت تستخدم قاعدة بيانات SQL ، فاستخدم الإجراءات المخزنة لإنشاء سلسلة اتصال قاعدة بيانات.
لا تستخدم اسم حساب مسؤول SQL الافتراضي SA. يعرف كل مستخدم يستخدم SQL أن حساب SA موجود. قم بإنشاء حساب إدارة SQL آخر بكلمة مرور آمنة وموثوقة وحذف حساب SA.
قبل تخزين كلمات مرور المستخدم العميل ، يرجى استخدام خوارزمية التجزئة ، أو ترميز BASE64 لهذه كلمات المرور ، أو استخدام server.htmlencode أو server.urlencode للترميز. يمكنك أيضًا استخدام مثال رمز في أسفل هذه الصفحة للتحقق من الأحرف في كلمة مرور العميل.
لا تضع اسم الحساب أو كلمة المرور الإدارية في البرامج النصية الإدارية أو صفحات ASP.
لا تتخذ القرارات في الكود بناءً على العنوان المطلوب ، لأنه يمكن أن يتم تزوير بيانات العنوان من قبل المستخدمين الخبيثين. قم دائمًا بتشفير البيانات المطلوبة أو استخدم مثال الرمز التالي للتحقق من الأحرف التي يحتوي عليها.
لا تقم بتخزين البيانات الآمنة في ملفات تعريف الارتباط أو إخفاء حقول الإدخال في صفحات الويب.
استخدم دائمًا طبقة مآخذ آمنة (SSL) للتطبيقات المستندة إلى الجلسة لتجنب خطر إرسال ملفات تعريف الارتباط للجلسة دون تشفيرها. إذا لم يتم تشفير ملف تعريف الارتباط للجلسة ، فيمكن للمستخدم الضار استخدام ملف تعريف الارتباط للجلسة في تطبيق واحد لإدخال تطبيق آخر في نفس العملية كما هو.
عند كتابة تطبيقات ISAPI أو المرشحات أو كائنات COM+ ، كن على دراية بتدفقات المخزن المؤقت بسبب حجم المتغيرات والبيانات. لاحظ أيضًا مشاكل التطبيع التي قد تكون ناتجة عن التفسير ، مثل تفسير أسماء المسارات المطلقة على أنها أسماء مسارات نسبية أو عناوين URL.
سيتم عفا عليه الزمن على المميز المحاكاة عندما يتحول تطبيق ASP الذي يعمل داخل وحدة واحدة مترابطة (STA) إلى وحدة متعددة الخيوط (MTA). يمكن أن يتسبب ذلك في تشغيل التطبيق دون محاكاة ، مما يتيح له تشغيله بفعالية مع هوية قد تسمح بالوصول إلى موارد أخرى. إذا كان عليك تبديل نموذج الخيوط ، وتعطيل التطبيق وإلغاء تثبيته قبل إجراء التغيير.