Catatan tentang Halaman Web Pengembangan ASP Direkomendasikan dari Blog Rainman_net
Kata kunci ASP Pengembangan Web penting untuk diingat
Sumber
Jangan pernah percaya bahwa konten yang dimasukkan oleh pengguna memiliki ukuran yang tepat atau berisi karakter yang tepat. Input pengguna harus selalu divalidasi sebelum menggunakannya untuk membuat keputusan. Opsi terbaik adalah membuat komponen COM+ sehingga Anda dapat memanggilnya dari halaman ASP untuk memverifikasi input pengguna. Anda juga dapat menggunakan metode server.htmlencode, metode server.urlencode, atau salah satu contoh kode di bagian bawah halaman ini.
Jangan membuat string koneksi basis data di halaman ASP dengan menghubungkan string yang dimasukkan oleh pengguna. Pengguna berbahaya dapat memperoleh akses ke database dengan memasukkan kode ke dalam input mereka. Jika Anda menggunakan database SQL, gunakan prosedur tersimpan untuk membuat string koneksi basis data.
Jangan gunakan nama akun administrator SQL default SA. Setiap pengguna yang menggunakan SQL tahu bahwa akun SA ada. Buat akun manajemen SQL lain dengan kata sandi yang aman dan andal dan hapus akun SA.
Sebelum Anda menyimpan kata sandi pengguna klien, silakan gunakan algoritma hashing, encoding base64 untuk kata sandi ini, atau gunakan server.htmlencode atau server.urlencode untuk pengkodean. Anda juga dapat menggunakan contoh kode di bagian bawah halaman ini untuk memverifikasi karakter dalam kata sandi klien.
Jangan menempatkan nama akun administratif atau kata sandi dalam skrip administratif atau halaman ASP.
Jangan membuat keputusan dalam kode berdasarkan judul yang diminta, karena data judul dapat dipalsukan oleh pengguna jahat. Selalu menyandikan data yang diminta atau menggunakan contoh kode berikut untuk memverifikasi karakter yang dikandungnya.
Jangan menyimpan data yang aman di cookie atau menyembunyikan bidang input di halaman web.
Selalu gunakan Secure Sockets Layer (SSL) untuk aplikasi berbasis sesi untuk menghindari risiko mengirim cookie sesi tanpa mengenkripsi mereka. Jika cookie sesi tidak dienkripsi, pengguna jahat dapat menggunakan cookie sesi dalam satu aplikasi untuk memasukkan aplikasi lain dalam proses yang sama seperti itu.
Saat menulis aplikasi ISAPI, filter, atau objek COM+, waspadai buffer overflows karena ukuran variabel dan data. Juga perhatikan masalah normalisasi yang mungkin disebabkan oleh interpretasi, seperti menafsirkan nama path absolut sebagai jalur jalur atau URL relatif.
Token yang disimulasikan akan ketinggalan zaman ketika aplikasi ASP berjalan dalam satu unit berulir tunggal (STA) beralih ke unit multi-threaded (MTA). Hal ini dapat menyebabkan aplikasi berjalan tanpa simulasi, memungkinkannya berjalan secara efektif dengan identitas yang memungkinkan akses ke sumber daya lain. Jika Anda harus mengganti model threading, nonaktifkan aplikasi dan uninstall sebelum melakukan perubahan.