网站设计的信息安全隐患预防
网络技术的日益发展成熟和人们生活方式的不断改变,使得基于Web技术的电子商务网站得到了迅猛的发展,电子商务网站在给人们生活带来方便快捷的同时,也有不法分子利用网络或网站进行欺诈等非法活动,给消费者或商家带来一定的经济损失,为了解决这个问题,不少专家在网络安全及其网站安全方面做了研究与实践,文中的就是阐述在电子商务网站设计中碰到的常见安全问题、安全漏洞等,并对这些问题和漏洞进行了处理,使得网站更加安全,包括机密性、完整性和可用性等方面都有很大的改进。尤其是数据加密处理,病毒防治,实现整个软件可维护性、可管理性高的要求。
1控制登录错误机制
有些非法用户想用暴力破解法强行登陆,通过多年的电子商务网站安全性研究,设计了一个算法,实现对非法用户的锁定,以保护电子商务网站。当用户进入登录页面时,只需提供自己注册时的用户名和密码等,只有输入正确的用户名和密码才能够登陆到相应的页面。如果用户的权限是系统管理员,成功登陆后才可进入管理员操作界面。如果电子商务网站采用本文所设计的算法后,即使有非法用户跳过登录页面直接进入管理员操作页面的话,那么系统将会自动将其返回到登录页面进行登录操作。在进行登录操作时,系统会对错误登录开始计数,错误登录3次将会进入保护状态而禁止非法用户继续进行操作。
2电子商务网站攻击过滤类
2.1攻击过滤类
文中设计了一个电子商务网站攻击过滤类,通过该类的应用,使得最终提交给应用程序的数据是干净的,没有安全隐患的,具体实现流程如图1所示。电子商务网站攻击过滤类的关键成员函数如下publicfunctionprocess($source){if(is_array($source)){foreach($sourceas$key=>$value)if(is_string($value))$source[$key]=$this->remove($this->decode($value));return$source;}elseif(is_string($source)){return$this->remove($this->decode($source));}elsereturn$source;}protectedfunctionremove($source){return$this->filterTags($source);}protectedfunctiondecode($source){$source=html_entity_decode($source,ENT_QUOTES,"ISO-8859-1");$source=preg_replace('/&#(\d+);/me',"chr(十进制$source=preg_replace('/&#x([a-f0-9]+);/mei',"chr(0x\\1)",$source);//十六进制return$source;}具体函数调用关系如图2所示。
2.2过滤易发生XSS攻击的标签
要想过滤易发生XSS攻击的标签,首先必须找到所