一、隨著計算機信息技術的高速發展，人們的生活、工作越來越依賴互聯網上的信息發布和信息獲取，但是人們卻時刻被信息網絡的安全隱患所困擾，越來越多的人也開始了關于網絡、網站的安全性管理研究。

　　網站安全是指對網站進行管理和控制，并采取一定的技術措施，從而確保在一個網站環境里信息數據的機密化、完整性及可使用性受到有效的保護。網站安全的主要目標就是要穩妥地確保經由網站傳達的信息總能夠在到達目的地時沒有任何增加、改變、丟失或被他人非法讀取。要做到這一點，必須保證網站系統軟件、數據庫系統其有一定的安全保護功能，并保證網站部件如終端、數據鏈路等的功能不變而且僅僅是那些被授權的人們可以訪問。

　　網站安全目前已發展成為一個跨學科的綜合性學科，它包括通信技術、網站技術、計算機軟件、硬件設計技術、密碼學、網站安全與計算機安全技術等，網站安全是在攻擊與防范這一對矛盾相互作用的過程中發展起來的。新的攻擊導致必須研究新的防護措施，新的防護措施又招致攻擊者新的攻擊，如此循環反復，網站安全技術也就在雙方的爭斗中逐步完善發展起來。

　　二、網絡與網站安全隱患概述

　　目前影響網站安全的問題主要來自于網絡的不安全性，所以在這個意義上講，網站的安全漏洞其實也就是網絡的安全漏洞，其漏洞主要來自以下幾個方面：

　　1.自然因素：

　　1.1軟件漏洞

　　任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的，而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊，主要在以下幾個方面：

　　1.1.1、協議漏洞。例如，IMAP和POP3協議一定要在Unix根目錄下運行，攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄，從而獲得超級用戶的特權。

　　1.1.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下，就接受任何長度的數據輸入，把溢出部分放在堆棧內，系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令，來造成系統不穩定狀態。

　　1.1.3、口令攻擊。例如，Unix系統軟件通常把加密的口令保存在一個文件中，而該文件可通過拷貝或口令破譯方法受到入侵。因此，任何不及時更新的系統，都是容易被攻擊的。

　　1.2病毒攻擊

　　計算機病毒一般分為四類：①文件型病毒（FileViruses）;②引導型病毒（SystemorBootSectorVirus）;③鏈式病毒（SYSTEMorCLUSTERVirus）;④宏病毒（MacroVirus）。計算機病毒的主要危害有：對計算機數據信息的直接破壞作用，給用戶造成重大損失:占用系統資源并影響運行速度:產生其他不可預見的危害:給用戶造成嚴重的心理壓力。

　　計算機病毒疫情呈現出多元化的發展趨勢，以網絡為主要傳播途徑。呈現以下顯著特點:①網絡病毒占據主要地位；②病毒向多元化、混合化發展；③利用漏洞的病毒越來越多。

　　2、人為因素：

　　2.1操作失誤

　　操作員安全配置不當造成的安全漏洞，用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見，隨著網絡管理制度的建立和對使用人員的培訓，此種情況逐漸減少.對網絡安全己不構成主要威脅。

　　2.2惡意攻擊

　　這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信急。

　　當然作為本文最討論的網站安全，它也有它自身的安全隱患存在，主要體現在以下幾點：

　　3.用戶輸入驗證不全面

　　在網站編程中，對于用戶和用戶的輸入，都必須抱懷疑態度，不能完全信任。所以，對于用戶的輸入，不能簡單的直接采用，而必須經過嚴格驗證，確定用戶的輸入是否符合輸入規則才可以錄入數據庫。用戶輸入驗證應該包括以下幾個方面：

　　（1）輸入信息長度驗證。程序員往往認為一般用戶不會故意將輸入過分拉長，不進行輸入驗證可能沒有危害。但如果用戶輸入的信息達到幾個兆，而程序又沒有驗證長度的話，可以使程序驗證出錯或變量占用大量內存，出現內存溢出，致使服務器服務停止甚至關機。論文網在線

　　（2）輸入信息敏感字符檢查。在設計程序的時候，程序員可能都會關注&#106avascript的一些敏感字符，如在設計留言版的時候，會將“<”等符號的信息過濾，以免用戶留下頁面炸彈。但還有以下幾個方面需要特別注意，一是留言版內容信息的過濾。二是用戶名信息的過濾。程序設計中，對用戶名的驗證往往只是驗證長度，沒有驗證&#106avascript或者HTML的標記，這樣就容易形成漏洞。三是Email信息的驗證，Email信息往往也只驗證是否含有“@”符號，其他沒有限制，這容易形成兩個漏洞：輸入信息過長的內存溢出漏洞；含有&#106avascript等字符信息，造成顯示用戶Email的時候形成頁面炸彈等。四是搜索信息的驗證。盡管搜索信息不會直接保存到網站服務器，但是，搜索信息卻與數據庫或者服務器所有文件密切相關，如果搜索信息有問題，很容易就會暴露一些本來不應該暴露的數據庫信息或者文件信息。如果用戶對程序比較了解，可設計一些很特別的搜索信息，檢索他不應該檢索的數據庫表，例如用戶賬號密碼表等。因此，一般要驗證一些常見的用于數據庫操作的語句，例如搜索信息是否含有“Select”等，這樣來限制用戶輸入，避免信息的泄露。

　　4.頁面行為方式缺乏邏輯

　　在網站中注冊新用戶的時候，一般會首先要求用戶輸入自己需要注冊的賬號信息，驗證該賬號是否已經存在，確保用戶的單一性。如果用戶的注冊信息通過了“存在該賬號”的檢測，在編程的時候就認為這個賬號一定不存在，可以注冊，在注冊頁面中直接使用“nsertInto”語句將注冊信息插入用戶數據庫。上述的問題是：將注冊信息插入數據庫之前，并沒有再一次檢查這個用戶是否存在，而是信任前一個檢測頁面傳來的賬號信息。由于可以閱讀和保存HTML文件的源代碼，如果用戶將注冊通過的頁面保存并且將上面的賬號信息修改為一個已經存在的賬號，由于程序認為該賬號已經通過檢測，直接將該賬號插入數據庫，原來擁有該賬號的用戶信息就被修改，造成用戶信息流失、出錯等情況的發生。如果這個賬號剛好是一個管理員賬號，結果將是很難預料的。