ASP开发网页牢记注意事项

　　ASP开发网页牢记注意事项选择自RAINMAN_NET的Blog
关键字ASP开发网页牢记注意事项
出处

永远不要相信用户输入的内容具有适当的大小或者包含适当的字符。在使用其做出决策之前应该始终对用户输入进行验证。最佳的选择是创建一个COM+组件，这样您可以从ASP页面中调用该组件来验证用户的输入内容。您也可以使用Server.HTMLEncode方法、Server.URLEncode方法，或者本页底部代码示例中的某一个。
不要通过连接用户输入的字符串来创建ASP页中的数据库连接字符串。恶意用户可以通过在他们的输入内容中插入代码来获取数据库的访问权限。如果您使用的是SQL数据库，那么请使用存储过程创建数据库连接字符串。
不要使用默认的SQL管理员帐户名sa。每个使用SQL的用户都知道存在sa帐户。创建具有安全可靠密码的其他SQL管理帐户，并删除sa帐户。
在您存储客户端用户密码之前，请对这些密码使用哈希算法、进行base64编码，或者使用Server.HTMLEncode或者Server.URLEncode进行编码。您还可以使用本页底部的某个代码示例验证客户端密码中的字符。
不要把管理帐户名或密码放置在管理脚本或ASP页中。
不要根据请求标题在代码中做出决策，因为标题数据可以被恶意用户伪造。在使用请求数据前，始终要对其进行编码或者使用下面的代码示例验证其所包含的字符。
不要将安全数据存储在Cookie中或者将输入字段隐藏在网页中。
始终将安全套接字层(SSL)用于基于会话的应用程序，以避免未对会话Cookie进行加密就发送它们所带来的风险。如果会话Cookie没有经过加密，则恶意用户可以使用一个应用程序中的会话Cookie进入到与之在同一进程中的另一个应用程序。
当编写ISAPI应用程序、筛选器或者COM+对象时，请注意由于变量和数据的大小而造成的缓冲区溢出。还要注意可能由于解释造成的规范化问题，例如将绝对路径名解释成相对路径名或URL。
当在单线程单元(STA)内运行的ASP应用程序切换到多线程单元(MTA)内时，模拟令牌将过时。这可能导致应用程序在无模拟的情况下运行，让其用可能允许访问其他资源的进程的标识有效地运行。如果您必须切换线程模型，请在进行更改之前，先禁用该应用程序并将其卸载。





代码示例
本代码示例包含了一个函数，它可删除发送至该函数的字符串中的可能有害的字符。在上面的两个示例中，指定代码页以确保正确地编码。下面的示例使用的是MicrosoftVisualBasic?ScriptingEdition(VBScript)：

<%@LANGUAGE=VBScript%>
<%
Response.Write(Hello,&RemoveBadCharacters(Request.Form(UserName)))
Response.Write(<BR>Thisiswhyyoureceivedanerror:)

FunctionRemoveBadCharacters(strTemp)
DimregEx
SetregEx=NewRegExp
regEx.Pattern=[^\s\w]
regEx.Global=True
RemoveBadCharacters=regEx.Replace(strTemp,)
EndFunction
%>

下面的示例使用的是MicrosoftJScript?：

<%@LANGUAGE=JScript%>
<%
Response.CodePage=1252;
Response.Write(Hello,+RemoveBadCharacters(Request.Form(UserName)));
Response.Write(<BR>Thisiswhyyoureceivedanerror:);

functionRemoveBadCharacters(strTemp){
strTemp=strTemp.replace(/[^\s\w]/g,);
returnstrTemp;
}
%>

摘自网海之贝