ASP开发者的20项注意（外文文献翻译）.docVIP

　外文文献译文 ASP开发者的20项注意 防火墙会阻止黑客从你所连接的网络直接进入你的计算机。Windows管理员会始终保持系统处在必威体育精装版状态以避免感染像Nimda和Code Red这样的蠕虫病毒。同时也会使用密码来保证安全性。即便如此，我们的系统就真的安全了吗？然而现在不像几年前那样对数量的攻击显得那么脆弱了。阻断断口和安装补丁对黑客已经失去了作用，因为他们已经找到了新的方法来破坏这种安全措施。对于黑客们来说，他们需要首先寻找的机会是用户提出的web申请。 问题是尽管有一支专家队伍保护你的网络，但是你仍然得依靠你的网络开发者来保证你所发出的网络申请的安全。难道他们被适当地培训以从事最复杂的黑客工作？他们至少要擅长于从那些对SQL语句读取的时候插入脚本的欺骗中保护自己。许多公司已经认识到了他们的代码并不像他们想象的应该具备的安全一样。 本文为ASP程序设计者提供了20段内容。他们不是讲怎样保护网络访问，而是为ASP程序开发人员提出为了能够保护网络申请而应该避免做的事情。然而不幸的是，它们也标记了20处在网络申请中我们经常重复看到的错误之处。 1.不要让没有被过滤的用户进入到网络客户 Response.Write You have entered Request（UserInput） 2.不要信赖客户或者Session变量 3.不要忘记叙述特性字符设置 4.不要在用户没有被检测其访问路径就被允许访问文件 % Set fso = CreateObject（“Scripting.FileSystemObject”） On Error Resume Next Set f = fso.GetFile（request（file）） If err then Response.Write Error Else Response.Write f.Path End If % ， ， GetFile 的 FileSystemObject 方法然后藉由检查路径特性读了路径的 FileSystemObjects 的解释。 FileSystemObject 将会回到正常状态，， 5. 不要发送没有经过过滤的用户输入 SQL 语句 strSQL=SELECT * FROM Customers WHERE Username = Request（Username） Password = strPassword Username: Test Password: or True 若建立了strSQL字段，SQL的查询如下所示: strSQL=SELECT * FROM Customers WHERE Username = ValidUser Password= or True -- 这一状态将会从本质上返回有效用户，; 真实的情况将会总是让它们相匹配。 注意两倍的冲撞 （--） 在状态结束的时候扮演着反面的角色而不管其余的字符。 为了避免不安全的因素进入数据库，总是用两个单一的引述通过查询和取代来确保没有遗漏的。这将会引起数据库发送作为文字字符的字符串而不是解释它为结束字符串。然而，要知道，因为数值的输入不需要引述，这技术将不是有效的。 在数值输入的时候， 只是检查形式输入的确数值。 6. 不要信赖数据库内容 7. 不要把密码和起敏感存储到ASP页面中 8. 不要依赖一般的安全检查。 9. 不要留下客户端的HTML 注释 10. 不要显露太多的信息 11. 不显露你正在浏览哪里 12. 不要放敏感的信息在网址上 13. 不要使用.inc文件 14. 不要发送没有确定的用户输入的电子邮件 15. 不要放敏感的数据在隐藏表单区域 16. 不要让 IIS 处理错误 17. 不要失去对密码的控制 18. 不要在核查前发布源码 19. 不要在数据库中存储那些不必要的敏感数据 20. 不要认为这就是全部要考虑的 附录２　外文文献原文 Twenty Donts for ASP Developers Firewalls block hackers from directly connecting to your network shares. Windows administrators keep their systems up-to-date with the latest software patches to thwart worms such as Nimda and Code Red. And user passwords are stronger than ever. But are we secure yet? While the situation is much better than it was just a co