Примечания на веб -страницы разработки ASP рекомендуются в блоге Rainman_net
Ключевые слова ASP Web Development имеет значение, чтобы иметь в виду
Источник
Никогда не верьте, что контент, введенный пользователем, имеет правильный размер или содержит правильные символы. Пользовательский ввод всегда должен быть подтвержден перед использованием его для принятия решений. Лучший вариант - создать компонент Com+, чтобы вы могли позвонить на страницу ASP, чтобы проверить ввод пользователя. Вы также можете использовать метод Server.htmlencode, метод Server.urlencode или один из примеров кода в нижней части этой страницы.
Не создавайте строки подключения базы данных на страницах ASP, подключив строки, введенные пользователем. Злоупотребление пользователями может получить доступ к базе данных, вставив код в свой вход. Если вы используете базу данных SQL, используйте хранимые процедуры для создания строки подключения к базе данных.
Не используйте имя учетной записи администратора SQL по умолчанию SA. Каждый пользователь, использующий SQL, знает, что учетная запись существует. Создайте еще одну учетную запись управления SQL с безопасным и надежным паролем и удалите учетную запись SA.
Прежде чем хранить пароли пользователей клиента, используйте алгоритм хэширования, кодирование Base64 для этих паролей или используйте Server.htmlencode или Server.urlencode для кодирования. Вы также можете использовать пример кода внизу этой страницы, чтобы проверить символы в пароле клиента.
Не размещайте имя административной учетной записи или пароль в административные сценарии или страницы ASP.
Не принимайте решения в коде, основываясь на запрошенном названии, потому что данные заголовка могут быть подготовлены вредоносными пользователями. Всегда кодируйте запрошенные данные или используйте следующий пример кода, чтобы проверить содержащие его символы.
Не храните безопасные данные в файлах cookie и не скрывайте поля ввода на веб -страницах.
Всегда используйте Secure Sockets Layer (SSL) для приложений на основе сеансов, чтобы избежать риска отправки сеансов cookie без шифрования. Если сеанс cookie не зашифрован, вредоносный пользователь может использовать Cookie Session Cookie в одном приложении, чтобы ввести другое приложение в том же процессе, что и оно.
При написании приложений ISAPI, фильтров или объектов COM+ будьте в курсе переполнений буфера из -за размера переменных и данных. Также обратите внимание на проблемы нормализации, которые могут быть вызваны интерпретацией, такими как интерпретация абсолютных имен в качестве относительных имен или URL.
Моделируемый токен будет устарел, когда приложение ASP, работающее в одном резьбовом блоке (STA), переключается на многопоточный блок (MTA). Это может привести к выполнению приложения без моделирования, позволяя ему эффективно работать с идентичностью, которая может позволить доступ к другим ресурсам. Если вам нужно переключить модель потока, отключить приложение и удалить ее перед внесением изменения.