Hinweise zu ASP -Entwicklungs -Webseiten werden vom Blog von Rainman_net empfohlen
Keywords ASP Web Development ist wichtig zu beachten
Quelle
Glauben Sie niemals, dass der vom Benutzer eingegebene Inhalt der richtigen Größe hat oder die richtigen Zeichen enthält. Benutzereingaben sollten immer validiert werden, bevor sie sie verwenden, um Entscheidungen zu treffen. Die beste Option ist, eine COM+ -Komponente zu erstellen, damit Sie sie von der ASP -Seite aufrufen können, um die Eingabe des Benutzers zu überprüfen. Sie können auch die methode server.htmlencode, die server.urlencode -Methode oder eines der Codebeispiele am Ende dieser Seite verwenden.
Erstellen Sie keine Datenbankverbindungs -Zeichenfolgen auf ASP -Seiten, indem Sie vom Benutzer eingegebene Zeichenfolgen verbinden. Bösartige Benutzer können Zugriff auf die Datenbank erhalten, indem sie Code in ihre Eingabe einfügen. Wenn Sie eine SQL -Datenbank verwenden, verwenden Sie gespeicherte Prozeduren, um eine Datenbankverbindungszeichenfolge zu erstellen.
Verwenden Sie nicht den Standard -SQL Administrator -Kontoname SA. Jeder Benutzer, der SQL verwendet, weiß, dass das SA -Konto existiert. Erstellen Sie ein anderes SQL -Verwaltungskonto mit einem sicheren und zuverlässigen Passwort und löschen Sie das SA -Konto.
Bevor Sie Client -Benutzerkennwörter speichern, verwenden Sie bitte einen Hashing -Algorithmus, Base64 -Codierung für diese Passwörter oder verwenden Sie Server.htmlencode oder Server.urlenCode für die Codierung. Sie können am Ende dieser Seite auch ein Code -Beispiel verwenden, um Zeichen im Client -Passwort zu überprüfen.
Platzieren Sie den administrativen Kontonamen oder das Kennwort nicht in Verwaltungsskripten oder ASP -Seiten.
Treffen Sie keine Entscheidungen im Code basierend auf dem angeforderten Titel, da die Titeldaten von böswilligen Benutzern gefälscht werden können. Codieren Sie immer die angeforderten Daten oder verwenden Sie das folgende Code -Beispiel, um die enthaltenden Zeichen zu überprüfen.
Speichern Sie keine sicheren Daten in Cookies und verbergen Sie keine Eingabefelder auf Webseiten.
Verwenden Sie immer Secure Sockets Layer (SSL) für Sitzungsanwendungen, um das Risiko des Sendens von Sitzungscookies zu vermeiden, ohne sie zu verschlüsseln. Wenn das Sitzungs -Cookie nicht verschlüsselt ist, kann ein böswilliger Benutzer das Sitzungs -Cookie in einer Anwendung verwenden, um eine andere Anwendung in demselben Vorgang wie sie einzugeben.
Beachten Sie beim Schreiben von ISAPI -Anwendungen, Filtern oder COM+ -Objekten Pufferüberläufe aufgrund der Größe von Variablen und Daten. Beachten Sie auch die Normalisierungsprobleme, die durch Interpretation verursacht werden können, z. B. die Interpretation absoluter Pfadnamen als relative Pfadnamen oder URLs.
Das simulierte Token ist veraltet, wenn eine ASP-Anwendung, die innerhalb eines einzelnen Gewindegeräts (STA) ausgeführt wird, zu einer Multi-Threaded-Einheit (MTA) umschaltet. Dies kann dazu führen, dass die Anwendung ohne Simulation ausgeführt wird, sodass sie effektiv mit einer Identität ausgeführt werden kann, die den Zugriff auf andere Ressourcen ermöglicht. Wenn Sie das Threading -Modell wechseln müssen, deaktivieren Sie die Anwendung und deinstallieren Sie es, bevor Sie die Änderung vornehmen.