Web应用程序的基本安全问题,
深圳建站公司通常可采用各种不同的输入方法来处理用户输入的问题,不方同的输入方法适用不同的情形与不同类型的输入,本文为大家提供输入处理的几个最好的方法。
1 拒绝已知的不良输入
这种方法一般使用一个黑名单,其中包含一组在攻击中使用的已知的字面量字符串或模式,这种确认机制阻止任何与黑名单匹配的数据,并接受其他数据。一般认为,两方面的主要原因,这种方法是确认用户输入效率最低的方法。
2接受已知的正常输入
深圳网站设计公司觉得这种方法是处理潜在恶意输入的最有效方法,所以攻击者无法使用专门设计的输入来干扰应用程序的行为。这种方式使用一个白名单,其中包含仅与良性输入匹配的一组字面量字符串、模式或一组标准。确认机制接受任何与白名单匹配的数据,并且阻止其它数据。所以这种方法很有效,但是基于白名单并非是处理用户输入的万能办法。
3净化
深圳网站制作公司这种方法认可有时需要接受无法保证其安全的数据。程序并不拒绝这种输入,相反,它以各种方式对齐进行净化,防止对它造成不良的影响。在很多情况下,可以将其处理恶意输入问题通用解决办法。然而,如果需要一个输入项目中可能存在恶意的数据,可能就会很难对其进行有效的净化,最好采用边界确认的方法处理用户输入。
4安全数据处理
不安全的方式处理用户提交的数据,是许多的Web应用程序漏洞形成的根本原因通常不需要确认输入本身,只需要确认处理过程的安全,即可避免这些漏洞。有些时候,也可用安全的编程方法避免常见问题。它是一种有效的处理潜在恶意输入的通用方法。
5语法检查
防御措施全部都用于防止应用程序接受各种错误的输入,攻击者专门设计这些输入内容以干预应用程序的处理过程。然而,这一些漏洞中,攻击者提交的输入与普通的非恶意用户提交的输入完全相同。之所以称其为恶意输入,是因为攻击者提交的动机不同。