这些年,我一直在不停的做网站。
做什么类型呢?展示型。基本上都是管理员在后台发布信息的。很少涉及到于用户的互动,也就是说,用户几乎不会向数据库提交信息。
最新做的网站呢,太多功能性的需求了,用户提要提交大量的信息到数据库。
前段时间,有个做网站的朋友说,不要相信任何用户提交的任何数据。也就是说,对用户提交的每个参数,都要验证,都要过滤,不能轻易的就往数据库里面写。
今天算是体会到了。当有人专门进行安全测试的时候,会有各种意想不到的数据信息提交上来。javasvript的,onclick的,alert,sql select的,a href的,iframe的,数不胜数。总之,他们会提交各种的注入信息,来发现系统的漏洞。如果这个时候对用户提交的数据没有一个判断和过滤,大量的非法代码写入数据库,后果不堪设想。不仅页面崩溃,也会有信息泄露的风险。
我并非专业的程序员出生,所以,很多安全性的设置我其实不是了解。所以,又花了好多的时间去学习,去查资料,然后一遍一遍的测试。所有有用户POST信息的地方,全部加上过滤。
做什么事,其实都是有个规范的。遵守这些规范,也是基本功的体现。如果一开始不去遵守规范,后面将会很尴尬。需要反腐的去修改和调试资料,甚至可能自己都看不懂了。
这两天也在跟客户密切的确认网站的效果。真正到了要验收的时候,才发现,啊,原来还有好多地方没有完善。生活中,很多事情也是这样。平时不烧香,临时抱佛脚。
严谨,规范,自我约束,守规矩!
这几天休息得不是很好,今天就不忘下写了,早点休息压压惊!
3月15日,第0014篇日记。
锻炼:俯卧撑早50+晚50=100个。
网友评论