1网页设计中安全缺陷的形成原因

随着网络技术的发展，黑客攻击技术也变得越来越先进，针对网站的攻击不断出现，所以，设计人员在进行网站的建设时一定要充分考虑其安全问题。网站的建设流程包括需求分析、网站美工设计、程序开发、网站。在网站建设中，要开发很多相应的配套程序，因为网页设计的独特性，会增加程序的安全漏洞，为网站带来了安全隐患。网站可以充当企业和用户之间、事业单位和群众之间的沟通平台，网站可以提供企业的产品信息和政府部门的政策信息，让人民对企业和相关的事业单位有更层次的了解。尤其是电子商务网站，可以展示企业的产品，提高产品的知名度，拓展其销售途径，促进企业的发展。网页设计的实质就是建设网站的各项内容，它设计的好坏，直接影响着网站展示的效果。随着计算机软件技术的发展，很多软件都能对网页进行设计，这在一定程度上提高了网页设计的效率和效果，为网站开发人员提供了很多便捷和技术支持。在进行网站设计时，可以通过脚本语言编程技术实现网站和用户之间的交流，更好地对网站资源进行管理。用户可以通过网站了解企业的相关产品信息和企业最新的动向，在企业论坛中进行在线交流等，有效推动企业的发展。通过网站设计可以让网站功能的实现更加安全、可靠。在网页设计中应用的服务器端网页设计技术包括ASP、JSP和PHP等脚本语言，通过脚本语言可以实现网站资源的高效管理，提高了网站使用者和网站的交互性，在交互的过程中，一旦语言编程出现问题，就会慢慢形成安全漏洞，出现严重的安全问题，给企业造成一定的损失。这主要是因为用户的输入信息不可控，信息的不确定性非常大。因此，在对网站进行设计时，工作人员一定要事先考虑这个问题，对用户信息进行详细分析。一旦输入非法信息就会对网站的安全产生损害，这些输入的内容可能会成为攻击网络的工具，使网站不能正常运行。网页脚本语言编程和服务器直接相连，并和网站设置、网站的数据库设置直接相关。如果网站的程序设计出现漏洞，就会使网站的安全性降低，网站信息被窃取的几率升高，给企业造成不可估量的损失。

2常见网页设计安全缺陷及相关解决对策

一旦网页设计中的存在安全缺陷，就会使得网站的安全性能大大降低，制约着企业电子商务技术的发展。网页设计存在的安全缺陷主要有登陆验证缺陷、逃避验证缺陷、桌面数据库被下载的安全缺陷、文件上传存在的安全缺陷。

2.1登陆验证存在的安全问题用户在使用网站内部的信息时，一定要进行登录，所以用户要在该网站注册设置自己的用户名和登录密码。用户在网站上进行注册一方面方便企业对用户信息进行高效管理，开展相关的工作活动。另一方面，个人设置登录名和密码也利于个人信息的保密，维护自己的利益。提高网站安全性的方式很多，用户登录的验证和确认是其中的一种安全方式，只有确保网站的使用者都是合法的，才能进一步确保网站信息的安全。但是当前很多网站设计人员对用户登录的安全设置不够重视，忽视验证部分，没有考虑到登录验证的重要性，导致登录验证程序的稳定性偏低，从而使黑客等不法分子乘机入侵，威胁网站的安全，造成数据信息泄露，造成巨大的损失。这种登录安全缺陷主要是因为网站开发人员设计的验证程序不够严密，造成脚本语言编写程序在验证用户账号密码时出现问题。网站用户登录验证流程图如图1所示。用户在网站上登录，需要进行相关的验证，这时需要网站开发人员在数据库的user数据表中编写相关的程序，用户登录时，以username代表输入的账号，以password代表输入的登录密码。当用户输入用户名和密码时，系统会在数据库系统中进行搜索，如果用户的信息是正确的、合法的，就能搜索到相关信息，系统就会允许用户使用网站的相关信息，反之，如果登录信息是错误的、不合法的，用户就不能实现网站的访问。首先设定注册限制，不是所有人都可以在网站上进行注册，这样可以有效避免非法用户在网站上面注册，从而有效降低非法攻击的发生机率。然后，进行SQL登陆查询时，先设置用户信息过滤程序，过滤掉非法的用户和密码。最后，在验证用户时，先验证用户名，用户名合法再验证密码。这样就可以有效提高用户登录的安全性，解决当中存在的问题。

2.2逃避验证存在的安全问题如果用户知道网页的文件名或者是路径，就会出现逃避验证现象，使网站的安全性下降。一旦网页没有用户的登录限制，用户在网页中直接输入网页的文件名，不用进行登录验证，就可以读取网站内容，这对网站的安全是严重的威胁。所以，为了有效避免这个问题，需要网页设计人员加强网页信息的保密工作，提高网站信息的安全性。此外，对一些重要的网站内容加强用户身份验证限制，这样所有的用户在登录相关页面时，都必须进行身份验证工作，验证通过之后，才能使用里面的相关信息，这样会大大提高站点的数据安全性。

2.3桌面数据库被下载的安全漏洞桌面数据库被下载的安全漏洞主要是ASP+Access应用系统中的问题。通常情况下，用户都可以通过网站下载相关的信息，但是如果知道Access数据库名称及存储路径，就可以任意下载数据库中的信息，从而导致数据库中的机密信息泄露。比如，图书馆系统中的Access数据库其名称和存储路径一般为Library.mdb和URL/database。此时，只要在WEB浏览器的地址栏中键入URL/database/Library.mdb，就能将Library.mdb数据库下载到本地计算机中。所以，为了有效避免上述问题，在设计ASP程序时，数据源要尽量使用ODBC数据源，这样数据库名称就不会被直接写入程序中，避免出现ASP源代码和数据库名称一起失密的现象。此外，还要对页面进行加密处理，这样可以有效提高数据库系统信息的安全性，避免数据库内部资料被窃取。ASP页面的加密主要有两种方法：一是，应用组件技术将编程逻辑封装在DLL中；二是，应用ScriptEncoder加密ASP页面。通常情况下都会采取第二种方法对ASP页面进行加密，因为使用第一种方法对ASP页面进行加密时，需要将每段代码组件化，工作量特别大，并且操作十分繁琐。采用ScriptEncoder方法加密ASP页面时，其操作比较简单，编辑性强，具有以下四方面的优势：(1)HTML具有良好的可编辑性，使用ScriptEncoder加密ASP页面时，只需将ASP代码嵌入到HTML页面中，故仍可以使用常用网页编辑工具如Dreamweaver等实现HTML部分的完善，但是ASP加密部分不能任意更改，否则将会对文件造成破坏，导致其失效；(2)可以加密当前目录中的所有ASP文件，加密后并将其统一输出指定目录中；(3)应用ScriptEncoder加密ASP页面的操作十分简单。(4)criptEncoder加密软件是免费网件，可以从网站上直接下载，安装、注册验证即可。应用ScriptEncoder对代码加密，既简单方便，安全性又高。随着ScriptEncoder加密技术的广泛应用，DLL封装方法的使用越来越少，逐步被淘汰。

2.4文件上传存在的安全问题很多网站都具有文件上传功能，比如学习网站，教师上传一些学习资料等，但是网站的设计人员在设计网站时，没有设置过滤参数过滤功能，导致非法攻击人员利用这个漏洞上传一些恶意文件破坏网站的数据库系统或者是执行任意命令。为了解决这个问题，提高文件上传的安全性，应该在网站系统中添加判断程序，这样，系统在获得用户的文件上传请求之后，先对文件的安全性进行判别，符合文件上传的条件，才能完成上传操作，这样可以避免网站中上传一些非法文件，对系统造成破坏。

3结束语

随着21世纪信息化进程的不断加快，网络在人们生活中的作用越来越重要，而网站的安全问题也备受关注。在对网站进行建设时，需要涉及到很多的应用程序，在网页设计的交互程序中会出现很多安全漏洞问题，从而对网站造成影响，甚至给企事业单位造成不可估计的损失。所以，我们一定要重视网站的安全问题，在网站建设中充分考虑可能出现的安全问题，这样可以在一定程度上提高网站的安全性。

作者：王洪海单位：沈阳职业技术学院