网页模板.rar网页模板.rar网页模板.rar

首先测试一下基本的漏洞，比如‘ 之类的我觉得就够了

本来就不是什么重要的东西。

至少要对所以的页面代码部分加密

对于密码在传输过程中是加密的就可以了

在  程序中，如果我们的程序设计不当，就有可能面临数据库被别人控制的危险

以下是一个简单的用户更改密码的代码





现在，假如我注册一个用户，用户名为 %$&"!!

当该用户更改密码时（假设改为 ，会出现什么后果呢？？

 变为 !"%$&"!!

结果是用户密码没有被修改，因为没有  这个用户，

但在你的数据库中创建了一个登陆，新登陆名为 !!

将用户名稍加修改实际上可以运行任何  语句，任何  系统过程

而这一切都在你不知情的情况下发生的，实际上，上面的只是一个

示范，稍微修改一下用户名，我们可以做添加一个 '( 账号，删除所

有纪录，读取用户密码等越权操作。

解决的办法：



")!"  



#

")#)!

#"* 欢迎您，您已登陆成功

#"登陆失败，错误的用户名或密码

以上程序的漏洞是显而易见的

我们可以以 用户名： "密码+

轻易以 " 的账号登陆系统

因为我们的 变为了

")!""

显然 ""是恒为成立的所以 #)为 )

#"* 欢迎您，您已登陆成功

#"登陆失败，错误的用户名或密码

")

 程序员应该用更严密的判断语句来防止这个安全问题

下面是发现者提出的解决方案：

比较好的应该按照以下方式+

、处理输入字符，

,、处理‘-等字符

.、/)! 0 1

2、如果返回不为假，则取密码

对  网站的安全测试包括两大部分：

。网页部分。 网页往往由于对提交的内容没有如何过滤导致安全问题（如  注入等），一般要对

,。服务器部分。服务器的安全往往决定着网站的安全。如果一个网站本身代码再安全，但服务器有漏洞，

那这个网站代码的安全也就失去了意义。因为一旦服务器被入侵（破解 56、..78、2.. 帐号、远程

1说明+

1;!<"& 待检测字符串+任意字符#

1;!<64 检测类型 * 正常短字符  数字 , 日期 . 金钱 2 编码 >6?=@ 解码 >6?=A 登录字符串 B 防攻击检测

1;!<=&! 检测类型长度+类型为 "当为金钱时为小数点的位置

1返回值+如果通过检测返回正确字符串

1如果未通过则返回错误代码 C6D?DEEFE-DEEFE;F'D

1"G"4+'杜雪#HD6

1G+!+II#"#I

1G+!+II#<<4#I

1

")

;!<"&E;!<"&11

;!<64

*

;!<"&";!<"&

);!<=);!<"&;!<=&!



")"";!<"&!

);!<DE ****,

$")"

$")"



;!<=&!

*

);!<5'6";!<"&L!'



);!<5'6";!<"&L=&'

,

);!<;!<"&





);!<5;4;!<"&;!<=&!

")

2

6;!<"&

K)KH666!

);!<DE ****@

D$"5"

DK)

6E6  

6E699

6E6MM

6E6;!.2

6E6;!*9M

);!<=)6;!<=&!

@

6;!<"&

DK)

6E69M;!*

);!<=)6;!<=&!

A

(1　 9MN:%+OPQRSTU/VWXY-Z ;!.2 ;!8 ;!.,

=(

K)6

5"6

K)K;!<"&?"("M*6!

K)5

H$

")

B

5"-$!-I----!-"-1--

5"5" "----)-:--

5""5"-

"5)

)"*5"

")K;!<"&5""9M*!

"5

$")

")

$

")"5!