WEB應用資料驗證指南

web應用資料驗證指南

1．為什麼要驗證資料？

如果不驗證資料，容易導致web應用出現多種漏洞，比如：sql注入攻擊，命令注入攻擊，跨站點指令碼攻擊，編碼攻擊，檔案系統攻擊和緩衝區溢位。因此，為了保護web應用的安全，我們必須驗證資料。

2．什麼地方需要驗證資料？

所有從使用者或其它裝置接受資料的**部分。

3．什麼資料需要驗證？

http頭部，cookies,，session，查詢字串，**字段，和隱藏欄位等。

4．怎樣驗證資料？

4.1驗證策略

按順序選擇使用下面的四種策略： n

接受正確的資料：如果知道某個資料的所有特點，就可以只接受具有所有這些

特點的資料。比如對手機號碼的驗證就可以使用本方法。

n拒絕錯誤的資料：如果知道具有某些特點的資料是錯誤的，就可以明確拒絕具

有這些特點的資料。

n規範化資料：

對資料進行分析，去掉有問題的部分，並進行適當的修改和

轉換，從而將其轉化為正確的資料。

n不作驗證資料：

萬不得已才不驗證資料。

4.2驗證方法

n檢查資料型別; n

檢查字元型資料的長度範圍; n

檢查數值型資料的大小範圍; n

驗證資料**進行, 防止跨站攻擊( 也可以在apache配置檔案裡面做); n

過濾掉下面的特殊字元或為其編碼：

character

encoding

<

< or <

>

> or > &

& or & "

" or " '

' (( )

) ## %

% ;; +

+ --

n盡可能使用儲存過程操作後台資料庫; n

在生成sql語句的地方： ø

過濾掉輸入變數中的雙引號和單引號; ø

過濾常用sql 關鍵字； ø

對於數值型字段變數，驗證其值確實是數字；

n適當使用驗證；

n驗證資料操作的許可權；

web應用安全自學指南

b站搜sec875 參考資料 參考資料 github安全類主題 參考資料 burpsuite工具開發公司出品的教學 紅盟抖音學習 931496577 我們想象乙個檔案，在網路上是直接整個的發，還是切分為幾組的發好一點呢？當然是將它們分割好，按照一定的順序和序列和佇列這些類似的詞語來傳送比較好啦。序列...

web之困 現代web應用安全指南

web之困 現代web應用安全指南 在web安全領域有 聖經 的美譽，在世界範圍內被安全工作者和web從業人員廣為稱道，由來自google chrome瀏覽器團隊的世界頂級黑客 國際一流安全專家撰寫，是目前唯一深度探索現代web瀏覽器安全技術的專著。本書從瀏覽器設計的角度切入，以 瀏覽器的各主要特性...

WEB中文字型應用指南

在 we 上應用字型是一項基本技術，同時也是一門藝術。對於英文本型來說可選擇的範圍實在是太廣泛了，合理的使用它們將會為你的 增色不少。而真正的挑戰在於中文字型，由於中文字型組成的特殊性導致其體積過於龐大，除了作業系統內建的字型之外，我們很難在 上應用其他的字型。在可選性很差的前提之下，如何正確的使用...