防范脚本入侵 你做好准备了吗?

月中水

来源：IT168
    作为网络管理员，不少朋友也同时负责单位的网站开发维护的工作，对于WEB开发我想大家都比较精通，可是对如何编写安全的脚本代码和入侵者如何通过WEB方式对服务器进行渗透的，可能就不是很清楚了，有不少朋友错误的认为我的服务器有硬件防火墙，而且只开了80端口，是不会有网络安全问题的。下面我就向大家介绍几种比较常见的脚本攻击的方法，让大家从中能够找到安全防护的方法，从而提高服务器的安全性。
    1. 简单的脚本攻击
    此类攻击是由于WEB程序编写上对特殊字符过滤不严密所造成的，虽说不能对服务器的安全造成严重威胁，可是却可以使入侵者发布含有HTML语句的恶意代码，扰乱网站秩序，从而对网站产生不良影响。下面给大家举个例子:某网站在进行用户注册时，没有对特殊字符进行过滤，就有可能被无聊者利用，假设论坛的管理员ID为:webmaster，那就有可能有人在注册用户名时注册成 webmaster ，尽管ID有区别，可是在页面显示却是一样的，如果无聊者把其他的信息改的和webmaster一样，那别人就很难区分这两个ID哪个是真的哪个是假的。有不少网站有自己开发的留言板，而且支持提交HTML留言，这就给破坏者提供了机会，他们可以写一个自动弹出窗口并打开一个带木马的网页的代码，这样别人在浏览这条留言时就有可能被种下木马。防范方法很简单，加个过滤函数就可以了:
　　＜%
　　function SqlCheck(fString)
　　fString = Replace(fString, "'","")
　　fString = Replace(fString, " ","")
　　fString = Replace(fString, ";","")
　　fString = Replace(fString, "--","")
　　fString = Replace(fString, ",","")
　　fString = Replace(fString, "(","")
　　fString = Replace(fString, ")","")
　　fString = Replace(fString, "=","")
　　fString = Replace(fString, "%","")
　　fString = Replace(fString, "*","")
　　fString = Replace(fString, "","")
　　SqlCheck = fString
　　end function
　　%＞
    以上过滤函数中的String = Replace(fString, "＜","") fString = Replace(fString, "＞","")可以去掉语句中的“＜”和“>”符号，使HTML代码无法运行。