【摘 要】隨著社會的不斷發(fā)展，互聯(lián)網(wǎng)技術(shù)也在不斷進步。編程技術(shù)對于網(wǎng)頁的制作來說至關(guān)重要。為此，本文將從編程漏洞及其類型的角度出發(fā)詳細闡述網(wǎng)頁治國過程中的常見問題，通過對編程漏洞成因性質(zhì)的分析，得到相應的建議對策，以期能夠為業(yè)內(nèi)的研究和應用者提供幫助和借鑒。

【關(guān)鍵詞】編程漏洞 網(wǎng)頁制作 研究

隨著社會的進步和網(wǎng)絡(luò)技術(shù)的發(fā)展，越來越多的業(yè)內(nèi)人士開始關(guān)注網(wǎng)頁的制作，關(guān)注網(wǎng)頁制作過程中的編程漏洞問題。下文將針對編程漏洞問題進行研究，分別對其類型和形成原因進行介紹。

一、編程漏洞的類型

在對網(wǎng)頁的研究時，一般首先接觸到的就是對網(wǎng)頁進行編程。這一問題與其他常見的知識點一樣，經(jīng)常會被忽視，進而出現(xiàn)很多漏洞，影響制作效果。為此，我們必須弄清這些小錯誤和漏洞，了解它們的產(chǎn)生原因和過程。在進行網(wǎng)頁編程時，雖然出現(xiàn)的漏洞一般比較多，這樣的實例也屢見不鮮，但是由于這些漏洞之間往往存在一些共性，所以我們可以通過歸納出一些共同點來研究，具體可以分類如下：

（一）用戶輸入驗證不全面。在進行網(wǎng)站的編程設(shè)計過程中，工作人員必須把握一個原則，不能對用戶輸入的用戶名和密碼完全的信任，要持有懷疑的態(tài)度。在用戶輸入了用戶名密碼后不能直接采用，而是經(jīng)過嚴格的驗證，保證所輸入的信息符合規(guī)則才能錄入到數(shù)據(jù)庫中，針對這一問題，主要有以下幾個方面：

1.輸入信息長度驗證。對輸入信息長度的驗證是一個經(jīng)常被忽視的地方，編程人員普遍認為用戶不會將輸入的信息故意過分延長，即便是有用戶這樣輸入也不會產(chǎn)生危害。但是，作為研究人員我們發(fā)現(xiàn)，如果不對輸入信息進行驗證會出現(xiàn)很大的問題。有時用戶輸入的信息達到幾個兆，一旦沖過的驗證的環(huán)節(jié)，就可能導致過分占用內(nèi)容容量以及程序出錯等問題出現(xiàn)，嚴重時可能導致內(nèi)存溢出，進而產(chǎn)生服務(wù)器故障或關(guān)機。

2.輸入信息敏感字符檢查。對于用戶輸入的敏感字符一版程序設(shè)計時都會注意到，但往往注意的程度不夠，為此筆者總結(jié)了一下五點需要檢查的要點，供讀者參考：

首先，設(shè)計留言板的時候，要對“<”等符號的信息進行驗證，去除特殊字符以免用戶留下頁面炸彈，關(guān)注JavaScript的敏感字符，對用戶的留言板內(nèi)容進行過濾和篩選，這也是最常見的問題。

其次，要對用戶名的信息進行過濾。通常編程人員只注意到了對用戶名的長度進行驗證，而忽略了對HTML 的標記或JavaScript的驗證。有時盡管用戶名可以通過驗證，但是美觀性很低，會影響網(wǎng)頁的整體效果。更有甚者連用戶名的長度都不進行驗證，這樣就會產(chǎn)生更多的問題。

再次，當我們對Email信息進行驗證時，一般都只驗證是否包含“@”符號，沒有對其他信息進行限制，有時會產(chǎn)生信息過程導致的內(nèi)存溢出，有時會包含JavaScrript字符信息危害頁面安全等問題，這些都需要注意。

最后，在驗證搜索信息時也要格外注意。盡管搜索信息不會保存到所在的服務(wù)器上，但是會影響到服務(wù)器上的文件，容易暴露文件信息和數(shù)據(jù)庫信息。另外，存在一些用戶對程序十分的了解，通過特別的搜索信息設(shè)計，檢索無權(quán)限瀏覽的信息，因此，在搜索信息驗證時，要有特定的限制信息，防止用戶越權(quán)操作。

（二）頁面行為方式缺乏邏輯。對于頁面邏輯的問題往往比較難被人接受。例如，當新用戶注冊時，往往需要首先鍵入用戶名進行核查看是否與已有的用戶名重復，保證用戶名的唯一性，這樣的操作過程盡管比較合乎情理，但是會產(chǎn)生用戶信息出錯和流失的問題。具體過程一般是這樣的，當用戶檢測了該賬號時，如果賬號不存在，即可以進行注冊，此時，漏洞就出現(xiàn)了。再將注冊信息輸入到數(shù)據(jù)庫時，沒有對反饋后重新鍵入的用戶名進行再次驗證，如果用戶在檢測成功之后更改成了與系統(tǒng)數(shù)據(jù)庫已有相通的用戶名，就會導致數(shù)據(jù)庫中的用戶被刪除或更改了。如果恰逢這樣的賬號是管理員賬號就會產(chǎn)生更多的問題。這種情況從當前網(wǎng)絡(luò)上的應用來看是普遍存在的。

（三）編程方式不成熟。對于編程者來書，往往忽略一些漏洞的產(chǎn)生，這主要是因為經(jīng)驗問題，而不是因為沒有注意。為此，編程人員要多了解網(wǎng)絡(luò)攻擊的特點和方式，相應的修改和加固程序。

（四）沒有基于內(nèi)容的檢測。基于內(nèi)容的檢測是編程者經(jīng)常沒有重視的問題。從國家法律的角度來看，網(wǎng)站設(shè)計完成之后在技術(shù)完善的同時還要適應國家法律，以防不法分子別有用心的利用網(wǎng)站發(fā)布不良信息。例如：不文明用語、敏感詞匯、國家領(lǐng)導人相關(guān)字眼以及一些與國家政治相關(guān)的詞匯等等。這并不代表全部的禁止，而是結(jié)合網(wǎng)站的用途和網(wǎng)站使用環(huán)境來靈活設(shè)定，進行合適的過濾和禁止。

二、編程漏洞的形成

想要了解編程漏洞必須對網(wǎng)頁編程認識全面，下面我們將介紹網(wǎng)頁編程的特點。

（一）網(wǎng)頁編程交互性強。為了更好地管理網(wǎng)站資源，在進行網(wǎng)站設(shè)計時往往采用各種語言而不是直接運用HTML，這樣還可以增加瀏覽者和網(wǎng)站的交互。在設(shè)計網(wǎng)站時，交互編程京城用到，而對于聊天室和論壇等程序，有個很大的共同點就是需要輸入很多的用戶資料，通過資料管理用戶交流。因用戶在輸入資料時信息不可預測，會產(chǎn)生很多由于用戶輸入信息不可控造成的網(wǎng)頁攻擊，進而導致網(wǎng)頁出錯。

（二）網(wǎng)頁編程字符處理特別多。在網(wǎng)頁編程時，交互信息較多，對信息的處理工作復雜，必須要嚴格控制用戶輸入的信息長度、格式和內(nèi)容才能實現(xiàn)網(wǎng)頁安全。

（三）網(wǎng)頁編程涉及安全最里層。網(wǎng)頁編程直接作用于服務(wù)器，程序直接和網(wǎng)站數(shù)據(jù)庫設(shè)置相關(guān)，通過這些編程可以實現(xiàn)對服務(wù)器內(nèi)容的訪問。因此，對于敏感程序要反復研究，排除潛在的安全問題，對程序設(shè)計多加關(guān)注。

（四）網(wǎng)頁編程整體人員基礎(chǔ)較差。此外，還要關(guān)注網(wǎng)頁編程人員的素質(zhì)。編程人員不僅要實現(xiàn)網(wǎng)頁的功能，還要實現(xiàn)網(wǎng)頁的美觀，要注意編程技巧而不是簡單地完成任務(wù)。網(wǎng)頁編程盡管相對簡單且有規(guī)律可循，還是需要仔細推敲細節(jié)才能做得更好。并且時常出現(xiàn)編程人員專業(yè)知識不夠，基礎(chǔ)不扎實等問題也會產(chǎn)生編程漏洞。

三、結(jié)語

本文針對網(wǎng)頁制作過程中的編程漏洞問題進行了詳細的研究，通過對編程漏洞類型和形成原因的解析，找到了產(chǎn)生編程漏洞的一些來源，然后對每一種形成來源提出了切實的解決措施，以期能夠為業(yè)內(nèi)的研究和應用者提供參考和借鑒。

參考文獻：

[1] 齊興斌，趙麗. 網(wǎng)頁制作過程及制作時的注意事項[J]. 科技情報開發(fā)與經(jīng)濟. 2006（14）

[2] 魏剛，胡文靜. 認識網(wǎng)頁制作中的路徑[J]. 中國科技信息. 2006（16）

[3] 徐?；?，俞曉妮. 淺談網(wǎng)頁制作[J]. 遼寧教育行政學院學報. 2005（08）

[4] 張峰. 對幾種動態(tài)網(wǎng)頁制作技術(shù)的比較與分析[J]. 中國高新技術(shù)企業(yè). 2007（08）