今天我自己做的系统放到网上去测试了,我终于可以访问到自己的网站了,心中很是高兴。但是高兴归高兴,不能忘了自己的原本目的。
通过今天的测试,我发现单单靠个人的力量很难做的好一件事情,就拿今天的测试来说吧,刚开始我以为我的已经做好了,但是在其他人的测试下才发现有很多地方有待完善。安全问题根本没有解决了,比如黑客可以进行SQL注入式攻击。用户名的文本框可以输入以下字符串便可:UserName or 1=1 这样可以不经过验证就可以直接访问下一级页面。
还有就是在让用户输入字符串来查询文章等时,要限制用户输入的字数。如果是用存储过程相对来说更不容易受到攻击。另外还要限制特殊字符的输入如"<"、" ' "、空格等,如果没有的话黑客可以用一段简单的javascript代码使系统崩溃!
总之问题是非常之多,必须认真的看书,我想了解的越多,你做的就越好。
