解決登錄驗證安全缺陷
 
很多網(wǎng)站在進行用戶登錄時，多會使用人機交互界面完成登錄驗證。而網(wǎng)站的設(shè)計者對驗證程序沒有做到全面的考慮，這樣很容易產(chǎn)生登錄驗證安全缺陷，造成 Script Language編寫程序在對用戶賬號密碼進行驗證工作時出現(xiàn)問題。


 
針對登錄驗證安全缺陷這個問題，可以通過下面的方法解決:首先在注冊用戶名和密碼時添加注冊限制對于非法的用戶名和密碼不準(zhǔn)申請；其次，在利用SQL語句進行登錄查詢時，我們可以先過濾用戶輸入的信息，在一定程度上防止非法賬號及密碼的應(yīng)用；接下來，在進行用戶驗證時，不急于對用戶名和密碼同時進行匹配，而是先對用戶名進行驗證，等用戶名匹配成功之后，再進行密碼的驗證工作。這樣可以減少查詢時間，提高查詢效率。
 
SQL注入漏洞的預(yù)防
 
SQL語言是網(wǎng)站設(shè)計中必不可少的后臺數(shù)據(jù)庫語言。在SQL語言中有一些特殊字符如“*”等，這些特殊字符是為了完成模糊匹配的?？捎行┚W(wǎng)站設(shè)計人員在網(wǎng)站設(shè)計初始，沒有考慮到SQL語言的書寫規(guī)范和特殊字符的應(yīng)用，產(chǎn)生SL注入漏洞，導(dǎo)致攻擊者通過表單提交中的全局變量GET和POST把SQL語句提交并執(zhí)行。
 
針對于這一問題，具體的解決方法包括:可以打開配置文件中的 magc_ quotes_spe和 mage_ quotes_ runtime的設(shè)置；設(shè)置 resister globals為of；關(guān)閉全局變量注冊；最后，在給數(shù)據(jù)庫和數(shù)據(jù)表字段進行命名時，特別是一些重要字段命名時，不要取一些很容易被猜到的名字。例如“姓名”字段最好不要命名為name”字段。
 
文件上傳漏洞的解決方案
 
文件上傳漏洞產(chǎn)生的原因主要是攻擊者通過網(wǎng)站上提供的“上傳文件"功能，把一些惡意的可執(zhí)行文件上傳至服務(wù)器，并通過它獲得對服務(wù)器的控制權(quán)?？梢酝ㄟ^下面幾個方面來解決文件上傳漏洞:首先把文件上傳的目錄設(shè)置為不可執(zhí)行，這樣一來，此目錄只能存放文件，不能做其它操作；其次，文件類型的判斷。要對上傳的文件進行判斷，可執(zhí)行文件等特殊類型的文件不可以上傳保存；最后，使用隨機數(shù)改寫文件名和文件路徑；單獨設(shè)置文件服務(wù)器的域名。
 
Web安全加固
 
針對網(wǎng)頁改的攻擊方法多種多樣。如果想要網(wǎng)頁不被纂改，最直接的方法就是在設(shè)計網(wǎng)頁時采取一定的措施來避免被簒改的網(wǎng)頁從服務(wù)器中流出去。同時，加固網(wǎng)頁使其不容易被修改。前者我們可以使用硬件的方式來實現(xiàn)。而后者，我們可以通過網(wǎng)頁設(shè)計和應(yīng)用程序來實現(xiàn)。到目前為止兩種防護功能的相互整合程度還不是很高。在現(xiàn)今不斷發(fā)展的信息技術(shù)時代，網(wǎng)絡(luò)無處不在，我們的很多信息都是通過網(wǎng)站獲得，所以網(wǎng)站技術(shù)就成了項很重要的內(nèi)容。網(wǎng)頁設(shè)計中經(jīng)常使用的服務(wù)器端設(shè)計程序主要包括 Active Server Page、 Hypertext reprocessor、 Java Server Pages等腳本語言，正是這些腳本語言為網(wǎng)站開發(fā)提供了平臺。利用ASP、PHP、JSP等腳本語言搭建的網(wǎng)站后臺程序，不論是程序開發(fā)階段，還是程序后期維護階段，對于設(shè)計開發(fā)人員來說都非常的高效、便捷，而且實現(xiàn)起來也是比較容易的。一個功能健全而使用安全的網(wǎng)站所涉及到的程序內(nèi)容有很多，又因網(wǎng)頁設(shè)計的特殊性，使得利用表單等功能實現(xiàn)的人機交互更為頻繁，用戶輸入什么信息內(nèi)容是網(wǎng)頁設(shè)計者無法預(yù)測的，此時網(wǎng)頁設(shè)計中安全隱患就會暴露出來，用戶的輸入內(nèi)容就有可能對網(wǎng)站造成不同程度的攻擊。在網(wǎng)站設(shè)計的過程中，除了上面介紹的幾種安全缺陷以外，還有很多其它的安全缺陷。因此，在建設(shè)網(wǎng)站時一定要多多注意網(wǎng)站的安全性，請在完成網(wǎng)站設(shè)計功能的基礎(chǔ)上，在一定程度上注意提高網(wǎng)站的安全性。