写留言板,需要注意哪些安全问题
我的一个朋友写了一个留言板,请别人测试不到一天就挂了,我想问下需要注意拿些问题.
[b]问题补充:[/b]
我的一个朋友写了一个留言板,请别人测试不到一天就挂了,我想问下需要注意拿些问题.
sorry
语言是java,我现在关心的不是"灌水".
我想知道就是通常的写法有没有"恶意代码嵌入"的可能,如果有需要注意哪些?,我朋友的留言板,不知别人是怎么弄的,就是被代码给挂了.
我不知道怎么个"恶意嵌入",也不知道怎么个"注意",在网上找了下只知道一些普通的html过滤.简单的说,就是安全性.
留言板是否支持html代码的,如果有,需要进行过滤特殊符号
重要的是检查输入的数据,是否是合法的。。
是否有sql注入等等。
最好就是贴出代码,这样方便查找
用什么东西写的?有ip限制?有留言数限制?有无页面缓存?需要审核不?需要验证码?
怎么个测试法?怎么个挂法?多少并发?
你说得怎么含糊。。。怎么说也应该说说怎样的测试环境,要求怎样嘛。。
没理由要个386的机器跑个eclipse。。还要超级快。。
假如你的是留言板,支持html嵌入的。。
发送到服务端的参数,其中内容部分是需要html过滤的,在存入数据库的时候,要防止sql注入,这个话题有很多内容。显示在页面的时候,同时也要注意,例如防止内容的标题给写入了一些html标记。。
这类应用,除非系统漏洞,服务器漏洞啦。。重要就是对输入和输出的东西进行合法性保障。
还是那句,贴代码,分析
既然是请别人测试。。问他是怎么弄的不就ok了嘛。。。
安全是多方面相关联的,你堵住一个漏洞,或许别人从其他地方进来呢?
有句话叫:All Input is evil! 仔细检查每个输入参数。。。