中秋、国庆是中国传统节日,为庆祝双节到来,北大青鸟东莞金码为社...
你有一份8千offer待签收
东莞北大青鸟秋季招生简章 学历+技能双重认证,一份努力,两份收获
高中生学什么好找工作 学IT,找好工作,就读北大青鸟
千万学生无法拒绝的大学,技能与学历双修
玩转短视频,新媒体时代流量全新玩法 启事在教诲,成事在榜样,跟着...
网络营销培训|SEO/SEM网络推广培训机构
电商实战分享沙龙 全面新招 决胜双11 ★前25名免费
多年以来,安全专家们都在警告人们Web应用程序的漏洞,而这些警告往往会变成现实。我们经常看到这样的报道:黑客成功地渗透进入了一个Web应用。黑客或网络罪犯们也在共享新发现的漏洞,分享他们的成功故事或者对下一个目标的研究。我们不可能保证企业网络绝对无法渗透,而且黑客们已经证明了这一点,那么,为保障这些关键的企业应用,编程者应该做点儿什么呢?
本文讨论在以安全为中心的计算机编程时,如何构建低风险的基于Web的应用程序。
1.查询参数化
有许多针对Web应用程序的攻击可追溯到成功窃取了口令的SQL注入攻击。企业、政府、社交网站都成为这种攻击的受害者,这使其成为一个普遍的问题。虽然许多人认为这个问题是厂商问题,但从根本上讲这属于开发者的编程问题。
网页表单的评论框、数据字段或允许自由输入数据的表单区域,特别是开放性的字符串输入,都会导致这种漏洞。SQL注入攻击甚至可以通过非可见的Web元素 (如HTTP的header的值)来传递。恶意的SQL代码的简单插入,有时会导致整个数据库都有可能遭到窃取、清除或篡改,甚至被用来恶意地运行操作系统命令来破坏企业的数据库。
为阻止SQL注入,开发者必须防止非可信的输入被解析为SQL命令的一部分。阻止SQL注入的最佳方法是借助使用参数化查询的编程技术。
例如,在java标准中,可借助如下方法实现参数化查询:
String custname = request.getParameter("customerName");
String query = "_selectaccount_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, custname);
ResultSet results = pstmt._executeQuery( );
2.保证口令存储的安全
显然,如果SQL注入可被用于窃取口令,就需要我们安全地保存用户口令。但为什么我们没有这样做?
保存口令的最糟糕的方法当然就是使用纯文本;但是,加密也不会好很多。原因在于加密是可逆的,还有一个原因就是MD5或者任何其它的哈希算法都是 有问题的。当今的黑客们可以访问强大但并非十分昂贵的计算资源,这可以使他们创建甚至购买“彩虹表”,从而可以实时地破译一般强度的密码。如今,黑客们甚至不再使用彩虹表,转而使用高性能的家用计算机去执行高速度的字典攻击。密码加盐技术是一种有助于对付彩虹表攻击和删除口令哈希重复数据的编码技术,但仅有这种技术是不够的。
利用有限的资源(如,利用并不昂贵的家用电脑),攻击者可以生成GPU破解程序,针对存储口令,它每秒钟可以执行250亿次口令尝试。
为存储口令和防止GPU破解程序和类似的资源暴露口令,我们建议结合三种主要技术:采用单向算法、加盐、有意利用慢速算法。有两个很好的算法,SCRYPT 和 PBKDF2可用来以这种形式安全地存储口令。
初级程序员程序员软件工程师网络工程师高级网络工程师网络安全与高级应用工程师OSTA软件工程师OSTA网络工程师OSTA Java工程师
有很多的学生都有问过这样一个问题,说零基础能学电脑吗?我什么都不会,对电脑一点都不熟悉,我可以学习电脑吗?我可以这么回答你们,零基础是可以学电脑的,而且不用担心学不会,关键是在于你找了一个怎么样的培训学校,北大青鸟东莞金码学校就是一个针对课程针对是零起点的学校。
北大青鸟东莞金码教育周边的体育馆 北大青鸟东莞金码教育周边的图书馆 北大青鸟东莞金码教育周边的玉兰大剧院 北大青鸟东莞金码教育周边的展览馆
北大青鸟东莞金码学校是北大青鸟APTECH在东莞唯一的授权中心,拥有软件开发工程师、网络工程师、安卓工程师、学士后Java工程师、学士后 NET工程师、网络营销师、电子商务师、启蒙星等课程授课资质。
转眼又到了一年一次的高考中考的时候到了,这个夏天你有没有考上你理想的大学或者心仪的高中学校呢?接下来又如何安排你自己的学习路线呢?对于平时成绩不理想的学生来说,是时候该考虑一下,下一步学什么电脑技术对自己的前途有帮助了。那么,学电脑学什么好就业呢?
选工作:忘记了短期与长期目标的关系小谭是一所知名大学的应届毕业生,上学期间积累了丰富的社会实践经验,成为各用人单位的抢手货。他却产
定期反思自己的职业规划,这是十分重要且必要的。在2013年即将结束之际,也确实应该对事业提出一些值得思考的问题了。仔细思考一下你在事业
事件:面试对话三年前,王先生作为招聘官参加校园招聘,有一位应聘者的简历特别出众,非常符合他们公司的招聘需求。 到了面试那天,几位面
简历一定要突出你的能力、成就以及过去经验,重要的是要明确以下几点:1、明确你要寻求的是不是这个职位。只有你明白这个职位做什么,你要
有一些专教面试的书籍会建议你把问题的答案记住并加以练习。有时候这很奏效,但很多时候HR并不按牌理出牌,三得利公司的人力资源经理蔡一青就
1 字符基础1 1 单字节字符集(single-byte character set(SBCS))顾名思义,在这种模式下,所有的字符都只用一个字节表示,常见的如,ASC
渠道作为联系客户和制造商的利益通路之一,既可为制造商提供利益,也为客户提供包括服务在内的产品。那么渠道管理的定义又是什么呢?简言之
这是大多数开发者在发行一款全新应用时都会遇到的最大问题之一:如果我创造了它,是否会有人喜欢它?即使你的产品很出色,如果你不能吸引最
InitPHP框架是一款轻量级PHP开源框架,框架文档和下载地址:http: initphp com创建Hello World项目1 下载框架选择最新的版本,进行下载
socket是基于TCP和UDP协议的高层接口,定义了收发数据的格式。Java的TCP服务中使用的Socket是一种流机制,即对于编程人员来说,处理socket
打工学技术东莞哪家强?小程在东莞打工近3年了,一直没有稳定的工作,随着年龄增长,小程逐渐意识到自己频繁跳槽找工作,一直难以稳定下来的
教育部数据显示,2013年全国普通高校毕业生规模将达到699万,比2012年增加19万人,刷新纪录。今年大学生的就业形势不容乐观。受多方因素的...
高考之后选什么专业是一个困扰着学生和家长的难题,选专业就是选未来,高中文理分科,大学的专业是指定了招生科类的,例如有些专业只招理科
其实分数并不是评判一个人的标准。中高考生可以通过学习一门技术,来增强个人核心竞争力。
初高中毕业在东莞学什么有前途?高考落榜,没有读到大学,小风只能进入社会打工。只是身无技能,学历又低,刚开始只能去工厂打工,每天重复