WEB应用数据验证指南-白红宇

WEB应用数据验证指南

．为什么要验证数据？

如果不验证数据，容易导致WEB

应用出现多种漏洞，比如：SQL

注入攻击，命令注入攻击，跨站点脚本攻击，编码攻击，文件系统攻击和缓冲区溢出。因此，为了保护WEB

应用的安全，我们必须验证数据。

．什么地方需要验证数据？

所有从用户或其它设备接受数据的代码部分。

．什么数据需要验证？

HTTP

头部，cookies,

，session

，查询字符串，表格字段，和隐藏字段等。

．怎样验证数据？

4.1

验证策略

按顺序选择使用下面的四种策略：

接受正确的数据：如果知道某个数据的所有特点，就可以只接受具有所有这些

特点的数据。比如对手机号码的验证就可以使用本方法。

拒绝错误的数据：如果知道具有某些特点的数据是错误的，就可以明确拒绝具

有这些特点的数据。

规范化数据：

对数据进行分析，去掉有问题的部分，并进行适当的修改和

转换，从而将其转化为正确的数据。

不作验证数据：

万不得已才不验证数据。

4.2

验证方法

检查数据类型;

检查字符型数据的长度范围;

检查数值型数据的大小范围;

验证数据来源进行,

防止跨站攻击(

也可以在APACHE

配置文件里面做);

过滤掉下面的特殊字符或为其编码：

尽可能使用存储过程操作后台数据库;

在生成SQL

语句的地方：

过滤掉输入变量中的双引号和单引号;

过滤常用sql

关键字；

对于数值型字段变量，验证其值确实是数字；

适当使用图片验证；

验证数据操作的权限；

本文转自zkjian517 51CTO博客，原文链接:http://blog.51cto.com/zoukejian/57966