SSH2架构中 如何防止SQL注入呢?还有其他相关安全有关问题如何设计呢
日期:2014-05-20 浏览次数:20702 次
SSH2架构中 怎么防止SQL注入呢?还有其他相关安全问题怎么设计呢?
目前的安全,只是对用户密码加密,前台jquery验证。
如何实现防止注入攻击还有我的页面有些隐藏域保存这当前登录用户的信息等信息。
用户查看页面源代码就可以查看到了。
有没好的解决方案呢?还有其他哪些要注意的地方呢?
Struts2 hibernate3 spring 3.0
sql server 2000 sp4
------解决方案--------------------
你用的这些完全解决不了安全问题
1:向 CA 购买证书,使用 HTTPS 进行通信,以保证在网络传输过程中是安全的
2:避免 XSS 注入(页面回显的 input text, input hidden 均过滤 <、>、"、' 等字符等)
3:使用随机键盘或者安全控件防止键盘木马记录用户的输入
4:若要在 Cookie 中写入数据,尽量使用 Cookie 的 HttpOnly 属性
5:响应中设置一些诸如 X-Frame-Options、X-XSS-Protection 等高版本浏览器支持的 HTTP 头
6: 不管客户端是否做过数据校验,在服务端必须要有数据校验(长度、格式、是否必填等等)
7: SQL 语句采用 PreparedStatement 的填充参数方式,严禁使用字符串拼接 SQL 或者 HQL 语句
目前的安全,只是对用户密码加密,前台jquery验证。
如何实现防止注入攻击还有我的页面有些隐藏域保存这当前登录用户的信息等信息。
用户查看页面源代码就可以查看到了。
有没好的解决方案呢?还有其他哪些要注意的地方呢?
Struts2 hibernate3 spring 3.0
sql server 2000 sp4
------解决方案--------------------
你用的这些完全解决不了安全问题
1:向 CA 购买证书,使用 HTTPS 进行通信,以保证在网络传输过程中是安全的
2:避免 XSS 注入(页面回显的 input text, input hidden 均过滤 <、>、"、' 等字符等)
3:使用随机键盘或者安全控件防止键盘木马记录用户的输入
4:若要在 Cookie 中写入数据,尽量使用 Cookie 的 HttpOnly 属性
5:响应中设置一些诸如 X-Frame-Options、X-XSS-Protection 等高版本浏览器支持的 HTTP 头
6: 不管客户端是否做过数据校验,在服务端必须要有数据校验(长度、格式、是否必填等等)
7: SQL 语句采用 PreparedStatement 的填充参数方式,严禁使用字符串拼接 SQL 或者 HQL 语句
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
