网站内容安全防护技术浅析( 电子商务网站安全主要涉及网络信息的安全和网络系统本身的)

　　网站内容安全防护技术浅析(

电子商务网站安全主要涉及网络信息的安全和网络系统本身的)

　　电子商务 网站 证券纸

　　电子商务网站安全主要涉及网络信息的安全和网络系统本身的安全。以下是小编为大家整理的电子商务网站安全论文，欢迎阅读参考！

　　

　　[摘要] 网页制作是目前比较热门的行业。它已经渗透到社会的各个角落。在电子商务网站中，网页制作技术应用最多。本文主要围绕电子商务网站讨论安全风险、网站安全现状、网站安全措施与解决方案、电子商务发展等，特别针对网站安全方面的考虑，在编写网页代码时要注意一些防范方法的介绍，以促进人们对网页制作中安全防范技术的了解。

　　[关键词] 网站 安全脚本数据库交互

　　一、简介

　　互联网已经渗透到社会的各个领域，不仅影响着我们的学习和工作。在互联网的发展过程中，WWW的发明和快速推广应用是一个重要的里程碑。作为一项新兴技术，网页设计是介于图形设计和编程技术之间的一门学科。它还涉及平面设计知识，如审美心理学、图形构图和色彩搭配。只有综合运用各种知识，才能设计出具有视听特效、动静结合、人机交互的WEB页面。

　　电子商务网站是一个非常丰富和便捷的系统，其中很多在过去是无法想象的。随着当今社会的发展和科学技术的发展，它们现在可想而知。由此，我们可以想象网页设计的未来。当时对网页设计的要求是什么？如何适应电子商务的发展？我有以下想法：网页可以人性化；网页必须具有相当的美感；网页强调交互性。

　　二、电子商务的安全现状网站

　　电子商务网站安全主要涉及网络信息的安全和网络系统本身的安全。电子商务网站安全隐患主要来自操作系统、网络和数据库的漏洞，以及安全管理的疏忽。电子商务网站安全本质上是网络上信息的安全，包括静态信息的存储安全和信息传输的安全。从广义上讲，所有与网络信息的机密性、完整性、可用性、真实性和可控性相关的技术和理论都是网络安全的研究领域。因此，为了保证网络的安全，必须保证以下四个方面的安全：

　　网络上系统信息的安全；网络信息传播的安全性；网络信息内容的安全。

　　下面对目前国内电商网站普遍存在的几个严重的安全问题进行分析。

　　1.检查客户端数据的完整性和有效性

　　(1)特殊字符过滤

　　W3C的WWW Security FAQ中CGI安全编程部分列出了推荐的过滤字符：&;"""|*?-＜＞^()[]{}，这些字符是由于不同的系统或运行环境会有特殊含义，如变量定义/赋值/取值、不显示字符、运行外部程序等，被归类为危险字符。

　　①CGI和Script编程语言的问题

　　国内常见的几种WEB编程语言中，ASP和Cold Fusion脚本语言的特殊字符过滤机制并不完善，比如没有对单引号进行处理。Perl和php对特殊字符有更严格的过滤，比如忽略或添加“”（取消特殊字符的含义）。C语言编写的cgi程序的特殊字符过滤完全取决于程序员的知识和技术，因此也可能存在安全问题。

　　②微软ASP脚本

　　一个常见的问题是程序员在编写ASP脚本时，对客户端输入的数据/变量缺乏或没有进行严格的合法性分析。因此，如果攻击者输入某些特定的 SQL 语句，可能会导致数据库数据丢失/泄漏/甚至威胁到整个站点的安全。例如，攻击者可以任意创建或删除表（如果可以猜到现有表的名称）、清除或更改数据库数据。攻击者还可以执行一些存储过程函数，将sql语句的输出通过电子邮件发送给自己，或者执行系统命令。

　　③PHP和Perl

　　虽然它提供了加“”的手段（取消特殊字符的含义），但是在处理一些数据库的时候还是可以改写的。对于MySQL，没有问题，'不会用前面的单引号括起来，而是当作合法字符处理。对于Oracle、informix等数据库，尚未进行相关测试。

　　此外，对于 PHP 或 Perl，很多程序并没有添加单引号来保护数字输入变量。攻击者可能会在这些变量中添加额外的 SQL 语句来攻击数据库或获取非法控制权限。

　　(2)数据库问题

　　不同的数据库对安全机制的理解和实现方法不同，这使得它们的安全性也不同。最常见的问题是利用数据库对某些字符的错误解释来重写执行的SQL语句，从而非法获取访问权限。

　　2.大量数据查询导致拒绝服务

　　很多网站对用户输入内容的判断都在前台，使用JavaScript来判断。如果用户绕过前台判断，则可以完全查询数据库。如果数据库比较大，会消耗大量的系统资源。这种查询操作会产生与拒绝服务（DoS-Denial of Service）相同的效果。

　　三、措施和解决方案

　　下面通过查阅一些资料，介绍一些网页制作中的安全防范方法，供大家参考。

　　1.防止脚本攻击

　　（1)防止JS脚本和HTML脚本攻击其实很简单，就用server.HTMLEncode(Str)即可。当然，都是通过<%=uid%>过滤，为了方便过滤，只有HTML只需过滤掉脚本和JS脚本中的几个关键字符即可，如下代码所示：

　　下面是过滤函数CHK()

　　＜%

　　函数 CHK(fqyString)

　　fqyString = replace(fqyString, “＞”, “＞”)

　　fqyString = replace(fqyString, “＜”, “＜”)

　　fqyString = replace(fqyString, “”, “&”)

　　fqyString = Replace(fqyString, CHR(32), “”)

　　fqyString = Replace(fqyString, CHR(9), “”)

　　fqyString = Replace(fqyString, CHR(34), “””)

　　fqyString = Replace(fqyString, CHR(39), ”'”)

　　fqyString = Replace(fqyString, CHR(13), ””)

　　fqyString = Replace(fqyString, CHR(10) & CHR(10), ”＜/P＞＜P＞“)

　　fqyString = Replace(fqyString, CHR(10), ”<BR> “)

　　CHK = fqyString

　　结束函数

　　%＞

　　（2)很多网站在用户注册或者用户配置文件修改页面也缺少脚本过滤，或者只过滤其中一个，注册后修改配置文件仍然可以用于脚本攻击。提交给用户的数据被检测和过滤为以下代码：

　　如果 Instr(request("username"),"=")＞0 或

　　Instr(request("username"),"%")＞0 或

　　Instr(request("username"),chr(32))>0 或

　　Instr(request("username"),"?")＞0 或

　　...

　　Instr(request("username"),">")>0 或

　　Instr(request("username"),"<")>0 或

　　Instr(request("username"),"""")>0 然后

　　response.write "朋友，您提交的用户名收录非法字符，请修改，谢谢合作<a href='****:window.history.go(-1);'>返回< /a>"

　　响应结束

　　万一

　　2.防止sql注入攻击

　　从最普遍的.SQL注入漏洞攻击来看，主要问题是用户名和密码的过滤。提交： User name:'or''=' User password:'or''=' 从程序开始，数据库在执行如下操作时Sql="SELECT * FROM lUsers WHERE Username="or"=" and Password="or"=""，SQL server会返回lUsers表中的所有记录，ASP脚本会将此误认为是攻击用户输入的字符是Users表中的第一条记录，允许攻击者以用户 网站 的身份登录。可以通过以下代码来防止这种类型的注入 strUsername = Replace(Request.Form("Username"), "''", "'''")

　　strPassword = Replace(Request.Form("Password"), "''", "''''")

　　3.防止ASP木马

　　防止ASP木马上传到服务器的方法很简单。如果您的论坛支持文件上传，请设置您要上传的文件格式。我不支持使用可变文件格式。直接从程序中锁定，只有图像文件格式和压缩文件都可以，因为对自己更方便，对攻击者也更方便。如何判断格式，如下代码所示：

　　判断文件类型是否合格

　　私有函数 CheckFileExt (fileEXT)

　　昏暗论坛上传

　　Forumupload="gif,jpg,bmp,jpeg"

　　Forumupload=split(Forumupload,",")

　　for i=0 to ubound(Forumupload)

　　如果 lcase(fileEXT)=lcase(trim(Forumupload(i))) 那么

　　检查文件扩展=真

　　退出函数

　　别的

　　CheckFileExt=false

　　万一

　　下一个

　　结束函数

　　上面介绍的一些安全防范方法是编写网页代码时常用的。这些代码还是比较基础的代码，但是可以有效的防止一些黑客的攻击。当然，添加这些代码可能会降低程序的效率。作为网站管理者或网页制作者，您应加强网页制作和网站维护过程中的安全防范意识，确保网络数据传输的可靠性。

　　总之，随着网页制作技术的不断发展和完善，对电子商务的发展有着不可估量的推动作用。网站 的安全性已经成为电子商务发展中最需要考虑的问题之一。在网站的开发中，要注意网络安全的考虑。目前，一些网站新技术如JSP、ASP、PHP、XML等已经融入网页制作中，进一步提升网页的性能。随着新技术的引入，相信网页制作的发展会带我们进入一个信息化的新世界。

　　参考：

　　林海、杨晨光等主编：计算机网络安全。上海：高等教育出版社

　　【电子商务网站安全论文】相关文章：

　　1.电子商务网站推广论文

　　2.企业电子商务网站论文

　　3.电子商务防伪纸

　　4. 电子商务安全论文

　　5.电子商务交易安全纸

　　6.电子商务安全学术论文

　　7. 电子商务防伪纸

　　8.电子商务安全相关论文