我现在在大学的最后一年写论文。我需要研究的领域之一是网站和数据库的安全性。我目前有以下部分:
- 网站
- 表单安全——比如数据验证。本节更多的是关于尽可能防止合法用户犯的错误,而不是阻止黑客,例如将字段与正则表达式进行比较,并对确实发生的任何错误给予有意义的反馈,以阻止它再次发生。
- 约束。例如,如果一个值必须为真或假,则使用复选框。如果它可能是几个值之一,则使用下拉列表或一组单选框,依此类推。如果值不可预测,则使用正则表达式来限制允许输入的字符,并限制字符串的长度,有时还限制格式(例如日期/时间、邮政编码等)。
- 有时您可以限制表单的权限。这是在您确切知道谁(无论是人名还是一群人 - 例如管理员或员工)将需要访问表单的情况下。限制权限将阻止公众成员访问表单。
- 应该过滤掉可能被恶意使用或导致网站行为不正确的符号或字符串(例如脚本标签)或进行 html 编码。
- 验证码图像可用于防止自动化系统填写和提交表单。
- 文件上传有一些黑客攻击 - 例如使用双扩展名 - 这可能允许黑客上传恶意文件。
- 数据库(这还远未完成,但我计划的部分在下面列出)
- SQL 语句与存储过程
- 当其中一个变量包含特定字符或字符组时抛出错误(我不记得它们是什么字符,但在我尝试将 html 或其他内容输入文本区域之前,我已经看到一条消息向我抛出)。
- SQL 注入 - 及其解决方法,并附有一些示例。
有没有人有关于我可以去哪里获得一些关于这些领域或我可以涵盖的其他安全领域的体面、可靠的信息的任何提示和技巧?
提前致谢。
问候,
理查德
PS 在安全方面我是一个完全的新手,所以请耐心等待。如果我提供的任何信息有误或可能被细分,请随时说出来。