網頁制作與電子商務網站安全

[摘 要] 網頁制作是目前比較流行的一種行業，它已經滲透到社會的各個角落，而電子商務網站中網頁制作技術應用的最多，本文主要從電子商務網站的安全隱患、網站安全現狀、網站安全的措施與解決方案、電子商務發展等方面進行探討，尤其對于網站安全的考慮，在編寫網頁代碼時，應注意的一些防范方法的介紹，以促進人們對網頁制作中的安全防范技術的了解。

[關鍵詞] 網站 安全 腳本 數據庫 交互

一、引言

Internet已滲透到了社會的各個領域，不僅影響著我們的學習和工作，在Internet的發展中，WWW的發明和迅速推廣應用是一個重要的里程碑。網頁設計作為一門新興的技術，是介于平面設計、編程技術兩者之間的一門學科，它還涉及到美學心理、平面構成、色彩搭配等平面設計方面的知識。只有綜合運用多種知識，才能設計出視聽特效、動靜結合、人機交互的WEB頁面。

電子商務網站是一個非常豐富和方便的系統，很多是過去無法想像的，隨著今天的社會的發展以及科學技術的發展，現在都可以想像得到。由此可以想像到未來的網頁設計，那時候網頁設計的要求是什么呢？怎樣才能適應電子商務的發展呢？我有以下幾點想法:網頁能具有人性化;網頁要具有相當的美感;網頁更加強調交互性。

二、電子商務網站的安全現狀

電子商務網站安全主要涉及網絡信息的安全和網絡系統本身的安全。電子商務網站安全的隱患主要來自操作系統、網絡和數據庫的脆弱性以及安全管理上的疏忽。電子商務網站安全從本質上講就是網絡上信息的安全，包括靜態信息的存儲安全和信息的傳輸安全。從廣義上講，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。因此為了保證網絡的安全，必須保證以下四個方面的安全： 運行系統的安全；

網絡上系統信息的安全； 網絡上信息傳播安全； 網絡上信息內容的安全。

以下是對目前國內電子商務站點普遍存在的幾個嚴重的安全問題的一些分析。

1.客戶端數據的完整性和有效性檢查

(1)特殊字符的過濾

在 W3C 的 WWW Security FAQ 中關于CGI安全編程一節里列出了建議過濾的字符：;“”\\“|*?-＜＞^()[]{}\\\r，這些字符由于在不同的系統或運行環境中會具有特殊意義，如變量定義/賦值/取值、非顯示字符、運行外部程序等，而被列為危險字符。

①CGI和Script編程語言的問題

在幾種國內常見的WEB編程語言中，ASP和Cold Fusion 腳本語言對特殊字符的過濾機制不夠完善，例如沒有對單引號做任何處理等。Perl和php對特殊字符的過濾則較為嚴密，如忽略或加上“\\”（取消特殊字符含義）處理。C語言編寫的cgi程序對特殊字符的過濾完全依賴于程序員的知識和技術，因此也可能存在安全問題。

②Microsoft ASP腳本

普遍存在的問題是程序員在編寫ASP腳本時，缺少或沒有對客戶端輸入的數據/變量進行嚴格的合法性分析。因此，如果攻擊者輸入某些特定sql語句，可能造成數據庫資料丟失/泄漏/甚至威脅整個站點的安全。比如攻擊者可以任意創建或者刪除表（如果可以猜測出已存在的表名），清除或者更改數據庫數據。攻擊者也可能通過執行一些儲存過程函數，將sql語句的輸出結果通過電子郵件發送給自己，或者執行系統命令。

③PHP和Perl

雖然提供了加上”\\”（取消特殊字符含義）處理的手段，但是處理一些數據庫時依然可以被改寫。對于MySQL則沒有問題，\\’不會與前面的單引號封閉，而當作一個合法的字符處理。針對oracle和informix等數據庫暫時未進行相關測試。

另外，對于PHP或者Perl語言，很多程序對于數字類型的輸入變量，沒有加單引號予以保護，攻擊者就有可能在這種變量中加入額外的SQL語句，來攻擊數據庫或者獲得非法控制權限。

(2)數據庫問題

不同的數據庫對安全機制的不同認識和實現方法，使它們的安全性也有所不同。最常見的問題是利用數據庫對某些字符的不正確解釋，改寫被執行的SQL語句，從而非法獲得訪問權限。

2.大量數據查詢導致拒絕服務

許多網站對用戶輸入內容的判斷在前臺，用JavaScript判斷，如果用戶繞過前臺判斷，就能對數據庫進行全查詢，如果數據庫比較龐大，會耗費大量系統資源，如果同時進行大量的這種查詢操作，就會有Denial of Service（DoS —— 拒絕服務）同樣的效果。

三、措施與解決方案

通過查閱一些資料，下面介紹一些網頁制作中安全防范的方法，以供大家參考。

1.防范腳本攻擊

(1)JS腳本和HTML腳本攻擊的防范其實很簡單，只要用server.HTMLEncode（Str）就可以了。當然全以＜%=uid%＞過濾，為了方便的過濾，只需要將HTML腳本和JS腳本中的幾個關鍵字符過濾掉就可以了，如下代碼所示：

以下是過濾函數CHK()

＜%

function CHK(fqyString)

fqyString = replace(fqyString， “＞”， “＞”)

fqyString = replace(fqyString， “＜”， ”＜“)

fqyString = replace(fqyString， “#”， “”)

fqyString = Replace(fqyString， CHR(32)， “ ”)

fqyString = Replace(fqyString， CHR(9)， “ ”)

fqyString = Replace(fqyString， CHR(34)， “”“)

fqyString = Replace(fqyString， CHR(39)， ”‘“)

fqyString = Replace(fqyString， CHR(13)， ”“)

fqyString = Replace(fqyString， CHR(10) CHR(10)， ”＜/P＞＜P＞ “)

fqyString = Replace(fqyString， CHR(10)， ”＜BR＞ “)

CHK = fqyString

end function

%＞

(2)很多站點在用戶注冊，或者是用戶資料修改的頁面上也缺少腳本的過濾，或者是只在其中之一進行過濾，注冊進入后修改資料仍然可以進行腳本攻擊。對用戶提交的數據進行檢測和過濾如以下代碼：

If Instr(request(”username“)，”=“)＞0 or

Instr(request(”username“)，”%“)＞0 or

Instr(request(”username“)，chr(32))＞0 or

Instr(request(”username“)，”?“)＞0 or

……

Instr(request(”username“)，”＞“)＞0 or

Instr(request(”username“)，”＜“)＞0 or

Instr(request(”username“)，”“”“)＞0 then

response.write ”朋友，你的提交用戶名含有非法字符，請更改，謝謝合作 ＜a href=’****:window.history.go(-1);‘＞返回＜/a＞“

response.end

end if

2.防范sql injeciton攻擊

從最一般的.SQL Injection 漏洞攻擊來看，主要在用戶名和密碼上的過濾問題，提交：用戶名為：‘or’‘=’ 用戶密碼為：‘or’‘=’從程序出發，數據庫在執行以下操作Sql=“ SELECT * FROM lUsers WHERE Username=”or“=” and Password = “or”=“”時，SQL 服務器將返回lUsers表格中的所有記錄，而ASP腳本將會因此而誤認為攻擊者的輸入符 lUsers表格中的第一條記錄，從而允許攻擊者以該用戶的名義登入網站。對此類注入的防范可以利用以下代碼就可以實現strUsername = Replace(Request.Form(“Username”)， “‘’”， “‘’‘”)

strPassword = Replace(Request.Form(“Password”)， “’‘”， “’‘’‘”)

3.防止ASP木馬

防止ASP木馬被上傳到服務器的方法很簡單，如果你的論壇支持文件上傳，請設定好你要上傳的文件格式，我不贊成使用可更改的文件格式，直接從程序上鎖定，只有圖象文件格式和壓縮文件就完全可以，因為多給自己留點方便也就多給攻擊者留點方便。怎么判斷格式，如下面代碼所示：

判斷文件類型是否合格

Private Function CheckFileExt (fileEXT)

dim Forumupload

Forumupload=”gif，jpg，bmp，jpeg“

Forumupload=split(Forumupload，”，“)

for i=0 to ubound(Forumupload)

if lcase(fileEXT)=lcase(trim(Forumupload(i))) then

CheckFileExt=true

exit Function

else

CheckFileExt=1

end if

next

End Function

上述介紹的一些安全防范的方法在編寫網頁代碼時被常用到，這些代碼還是較為基本的一些代碼，但能有效的防止一些黑客的攻擊，當然加入了這些代碼可能會降低程序的使用效率。做為一名網站的管理人員或網頁制作人員在進行網頁制作和網站維護時應加強安全防范的意識，確保在網絡上進行數據傳輸的可靠性。

總之，隨著網頁制作的技術不斷的發展和提高，對電子商務的發展有著不可估量的推進作用，對于網站的安全防范已經成為目前發展電子商務最需考慮的一個問題之一，在開發網站中應注意在網絡安全方面的考慮。目前如JSP、ASP、PHP、XML等一些網站新技術融入網頁制作中，進一步提高了網頁的性能。隨著新的技術的推出，我相信網頁制作的發展會把我們帶入一嶄新的信息世界。

參考文獻:

林 海 楊晨光等編寫:計算機網絡安全.上海：高等教育出版社