web开发注意事项

标签：web开发注意事项 Web(48)开发(17)注意事项(13)str(1)Regex(1)new(2)sele(1)

《web开发注意事项》文章地址：http://www.tfxk.com/wangyesheji/jianzhanjingyan/0302336262013.htm

            str = new Regex("select", RegexOptions.IgnoreCase).Replace(str, "select");

                    case '\n': sb.Append("\\n"); break;

            }

        public static string UnHtml(this string htmlStr) {

            str = new Regex("drop", RegexOptions.IgnoreCase).Replace(str, "drop");

数据从数据库读出来显示的时候一定要过滤。源代码：

l 设想每一个函数/方式调用尽可能存在的情形。

这篇文章很全面：

l 提交数据是否可刷新多次提交。多次疾速持续点击保存，保留按钮是否可用，是否已屡次提交数据。

                char c = s.ToCharArray()[i];

推举使用Parameter传值，不要使用字符串拼接。

数据提交的时候让按钮变灰不让再次单击。

特殊字符：

 

            StringBuilder sb = new StringBuilder();

            return str;

一、Web开发注意事项

l ,WEB建站规划分析之建站目的;防止从本地提交数据

l 输出JSON问题。

        public static string ToJson(this object obj, IEnumerable<JavaScriptConverter>,web前端：合理的设置字体的大小; jsonConverters) {

Tag：web开发   web开发  

''%' or 1=1;--

删除我的博文ID=1的SQL代码：delete from blog where blogID=1这样是有问题的，应当这么写：delete from blog where blogID=1 and userid=当前登录的用户ID。同样查问，修正，更新也存在这样的问题。

            str = new Regex("delete", RegexOptions.IgnoreCase).Replace(str, "delete");

l  

                    case '/': sb.Append("\\/"); break;

当前用户只能查看，增加，删除，更新本人的数据。在操作的时候必定要断定是不是指定的用户可以操作。有良多新人写程序的时候不做过处理，会呈现当前用户可以删除别人的数据。

                    default: sb.Append(c); break;

            ,WEB前端设计 良好的页面结构和优美的代码; ,web前端开发经验浅谈;   }

代码请参考：

        public static string ToJson(this string s) {

l 是否可查看，修改，删除，更新别人的个人材料或私密信息。

“

            return htmlStr.Replace("\"", "\\\"").ShowXmlHtml().Replace(" ", "&nbsp;").Replace("\n", "<br />");

  ,WEB2.0网站开发规则19条;          return sb.ToString();

        }

C#.NET COOKIE操作 KEY使用MD5加密，Value使用AES加密

三、自我测试需要注意

        }

            str = new Regex("exists", RegexOptions.IgnoreCase).Replace(str, "exists");

C#.NET 加密解密：AES/DES/Base64/RSA/MD5/SHA256

            str = new Regex("restore", RegexOptions.IgnoreCase).Replace(str, "restore");

        }

l 防无限刷新

            return serializer.Serialize(obj);

<,Web2.0的标签（Tag）到底是什么东西？;script>alert(1)</script>

IIS6需要设置：只读和无执行权限。禁用所有Web服务扩大。

l select/insert/delete/update操作时须要留神：

l 上传图片漏洞。

            return str;

            JavaScriptSerializer serializer = new JavaScriptSerializer();

            if (string.IsNullOrEmpty(htmlStr)) return string.Empty;

            string str = htmlStr.Replace("&", "&amp;").Replace(">", "&gt;").Replace("<", "&lt;");

要使用sp_executesql不要使用：exec

这种破绽的重要解决措施是：让图片目录无履行权限。

or 1=1

二、数据库开发注意事项

l  

l 防SQL注入

如果未调换这些特殊字符天生的JSON不会被准确解析。

l 每一个可输入控件都要输入特别字符去测试。每一个URL参数都要输入特殊字符去测试。

            if (jsonConverters != null) serializer.RegisterConverters(jsonConverters ?? new JavaScriptConverter[0]);

C#.Net Session操作 Key应用MD5加密，Value使用DES加密

拼接JSON字符串，有些特殊字符需要替代掉源代码：

            str = new Regex("insert", RegexOptions.IgnoreCase).Replace(str, "insert");

l 登录漏洞

                switch (c) {

推荐使用NET供给的JavaScriptSerializer对象生成JSON字符串。

存在此漏洞别人可挂马/记载键盘操作，并发送到指定的信箱/可弹广告/==。

 

如果需要拼接需要过滤一些特殊字符，代码如下：

or 1=2

 

                    case '\t': sb.Append("\\t"); break;

        }

l 防无穷提交数据/防ajax主动提交数据

            for (int i = 0; i < s.Length; i++) {

l 前台JS验证数据，提交到程序里也需要验证数据。做双保险才平安。

提交成功后，用JS提醒操作胜利，并转向新页面。这样做每次对方刷新都要点断定按钮。能够减少刷新次数。

        public static string ShowXmlHtml(this string htmlStr) {

验证用户是否登录最好的作法是，先按登录名，从数据库查询到用户的ID和密码。在代码里比拟登录密码是否正确。不要直接查询用户名和密码在表里是否存在。

HTML代码里加：<NOSCRIPT><IFRAME SRC="*.html",WEB 2.0 下WAP网站的产品介绍;></IFRAME></NOSCRIPT>

--> [网站建设之]web开发注意事项

                    case '\b': sb.Append("\\b"); break;

IIS7处置程序映射：

                    case '\"': sb.Append("\\\""); break;

l 测试所有按钮/链接/图片是否可点，链接地址是否正确，是否存在无效链接。

            str = new Regex("master.", RegexOptions.IgnoreCase).Replace(str, "master.");

l Cookie/Session/ViewState数据寄存需要加密。

加入验证码和提交时光（如一分种发信息）限度功效。

                    case '\\': sb.Append("\\\\"); break;

l 是否可被内嵌/是否可被另存为/是否有登录漏洞/是否可本地提交数据/程序是否验证数据的格局、保险性和歹意性

            if (string.IsNullOrEmpty(htmlStr)) return string.Empty;

源代码：

        public static string SafeSql(this string str) {

        }

        public static string ToJson(this object obj){

l  

l 删除sa用户，新建一个权限为sa的用户，用户名跟密码一样要庞杂。以防暴力破解。新建一个web衔接用户，去掉所有服务器角色，在用户映射中参加此用户要操作的数据库db_owner和db_public身份。假如需要其它操作要另加权限（如只加insert/delete/select/update）。

在POST/GET数据的时候，咱们需要验证页面的referrer。如果referrer非本地的域名不让拜访。这样可避免从其它站点或本地提交数据。

l XXS攻打。

     ,W3C标准;       str = new Regex("exec", RegexOptions.IgnoreCase).Replace(str, "exec");

存在SQL注入很重大。db_public身份一样能对数据库表有增添/修改/删除权限。

            str = new Regex("rename", RegexOptions.IgnoreCase).Replace(str, "rename");

            str = new Regex("truncate", RegexOptions.IgnoreCase).Replace(str, "truncate");

将图片目录放在非站点下。建一个独破站点指向图片目录。

l 防止页面被内嵌到别人的网站

‘

            str = new Regex("alter", RegexOptions.IgnoreCase).Replace(str, "alter");

\r\n

   ,visibility hidden和display none的区别和使用;         return ToJson(obj, null);

\n

                    case '\f': sb.Append("\\f"); break;

            str = new Regex("update", RegexOptions.IgnoreCase).Replace(str, "update");

            str = str.IsNullOrEmpty() ? "" : str.Replace("'", "''");

l 界面是否雅观/色彩是否扎眼/哪里可以改良。

l 备份文件时的小漏洞，备份主要文件时扩展名不要使用.bak/.txt之类的，防止别人下载。备份文件请不要上传到服务器。

l 预防页面被另存为

            str = new Regex("create", RegexOptions.IgnoreCase).Replace(str, "create");

            str = new Regex("xp_cmdshell", RegexOptions.IgnoreCase).Replace(str, "xp_cmdshell");

        }

HTML代码里加：<script>if (self != top) { top.location = self.location; }</script>

            ,UTF-8编码中BOM的检测与删除;        case '\r': sb.Append("\\r"); break;

(责任编辑：网站建设)
web开发注意事项相关文章