ASP页面安全技术相关研究_论文

2024年2月8日发(作者：)

技经济市场　ＡＳＰ页面安全技术相关研究　邹青平钟诚　（南昌市科技信息中心，江西南昌３３０００２）　摘　要：在高速发展的信息时代，Ｉｎｔｅｒｎｅｔ上Ｗｅｂ站点已经成为主要的信息共享、交流的手段，。而如何保障Ｗｅｂ站点的安　全成为当前普遍关注的焦点。本文对基于Ａｓｐ的站点安全体系中的页面安全进行了探讨。本文阐述了ａｓｐ安全中的常见页　面代码问题，如验证被绕过、用户名与口令被破解、特殊字符漏洞、文件泄露、数据库下载漏洞、ＳＱＬ注入漏洞、ＡＳＰ木马等七　个方面，并对每个方面的问题进行了剖析，并提出切实可行的防范技巧与方案。　关键词：ａｓｐ；ｗｅｂ安全；页面安全；网络安全　作用是在判断两个条件的时候，只要其中一个条件成立，等式将　会成立。而１肯定是等于１的，那么在这行语句中，原语句的　”ａｎｄ”验证将不再继续，而因为”１：１”和”ｏｒ”令语句返回为　真值。这将骗过验证，继续当验证为真时的操作。　解决的方法很多，比较简单的是使用ｒｅｐｌａｃｅ函数替换字符　的方法来屏蔽掉单引号和空格。也可以专门用一个文件来屏蔽　掉所有可疑的特殊字符；或者对用户名和密码进行加密换算。目　前我们使用比较广泛的是ＭＤ５加密算法，用其对用户的用户名　和密码进行ＭＤ５加密，每次验证前先进行换算，将换算后的结　果拿出来比较。验证时可以使用如下ＳＱＬ语句：　ｓｅｌｅｃｔ　ｒｆｏｍ　ｕｓｅｒｓ　ｗｈｅｒｅ　ｕｓｅｒ＝…＆ｍｄ５（ｔｒｉｍ（ｒｅｑｕｅｓｔ．ｆｏｒｍ　随着经济全球化的发展，商家、政府、乃至个人都积极地寻　求在Ｉｎｔｅｒｎｅｔ上发布信息，提供网上管理和服务，从而使网页　设计和网站建设成为一种热门行业。　作为微软推出的网页与数据库解决方案，ＡＳＰ由于有微软　得天独厚的操作系统等技术后盾支持，因此得到了迅速的发展，　并且正受到越来越多的欢迎。ＡＳＰ具有简单、易用、多功能，可扩　充性等强大功能。但是，使用ＡＳＰ技术制作的站点的安全性问　题一直都是Ｗｅｂ站点安全问题的重要组成部分。　Ｗｅｂ服务的安全主要可以分为自身安全、数据安全及页面　安全等三个方面。自身安全问题主要体现在操作系统、ＩＩＳ服务　系统、数据系统等系统的先天性缺陷；数据安全问题主要与数据　的设计与组织存在重大关系；页面安全问题主要由页面代码产　生。　（”ｕｓｅｍａｍｅ”）））＆…ａｎｄ　ｐａｓｓｗｏｒｄ＝…＆ｍｄ５（ｔｒｉｍ（ｒｅｑｕｅｓｔ．ｏｆｍ　ｒ（”ｕｓｅｒｎａｍｅ”）））＆”’。　本文重点讨论的就是ＡＳＰ页面代码设计安全问题。实践表　明，页面安全问题更多的是由于设计者在设计时不严谨产生的，　如果编写代码的时候多注意，是可以避免的。　１验证被绕过　如果用户知道了一个ＡＳＰ页面的路径和文件名，而这个文　件又是要经过验证才能进去的，但是用户直接输入这个ＡＳＰ页　而的文件名，就有可能通过绕过验证。例如，使用ＩＰ为　１９２．１６８．１１．１　１这台服务器，使用ｌｏｇｉｎ．ａｓｐ进入登录界面，通过　此外，涉及用户名与口令的程序最好封装在服务器端，尽量　少在ＡＳＰ文件里出现，涉及与数据库连接的用户名与口令应给　予最小的权限。出现次数多的用户名与口令可以写在一个位置　比较隐蔽的包含文件中。如果涉及与数据库连接，在理想状态下　只给它以执行存储过程的权限，千万不要直接给予修改、插入、　删除记录的权限。　３特殊字符漏洞　ｃｈｅｃｋａｄｍｉｎ．ａｓｐ来验证用户和密码，如果用户和密码正确，就转　入ｍａｉｎ．ａｓｐ进行后台操作。这时，如果将所有的关卡都放在　ｃｈｅｃｋａｄｍｉｎ．ａｓｐ，而对ｍａｉｎ．ａｓｐ页面没有设防，则攻击者只要直　接在地址栏输入ｈｔｔｐ：／／１９２．１６８．１　１．１　１／ａｄｍｉｎ／ｍａｉｎ．ａｓｐ便可绕过验　证。　因此我们应该在所有需要验证的ａｓｐ页面的开头处进行相　应处理。比如：判断ｓｅｓｓｉｏｎ（）并且跟踪上一个页面的文件名，只　有从上一页面转进来的会话才能读取这个页面。　２用户名与口令被破解　即使所有需要验证的ａｓｐ页而都进行了相应的处理，但是　验证页面上的密码验证漏洞仍然可能使你的验证形同虚设，而　这实际上是ｖＢ　ＳＣＲＩＰＴ中的一个小小的天然缺陷所造成的。　般我们都是将用户名和密码放在数据库中，在验证的时　候采用以下的ｓｑｌ语句：　Ｓｅｔ　ｓｑｌ＝”ｓｅｌｅｃｔ　ｆｒｏｍ　ｕｓｅｒｓ　ｗｈｅｒｅ　ｕｓｅｒｎａｍｅ＝…＆ｒｅｑｕｅｓｔ（”　一ｎａｍｅ”）＆…ａｎｄ　ｐａｓｓｗｏｒｄ＝…＆ｒｅｑｕｅｓｔ（”ｐａｓｓｗｏｒｄ”）＆…，这其中双　引号是给ｖＢ解释的，单引号是给ＳＱＬ解释的，即单引号括住的　数据将被ＳＱＬ视为字符串。假如我们在文本框中输入这样的用　户名和密码：ｊａｃｋ’ｏｒ　１’＝。ｌ提交给程序。我们再看经过编译后　的程序，ＳＱＬ判断就成了”ｓｅｌｅｃｔ￥ｆｒｏｍ　ｕｓｅｒｓ　ｗｈｅｒｅ　ｕｓｅｍａｍｅ：　’ｊａｃｋ’ｏｒ…１＝　１’ａｎｄ　ｐａｓｓｗｏｒｄ：’ｊａｃｋ’ｏｒ…１：…１”；ＯＲ是逻辑运算符，　２０１０年第２期　输入框常常是恶意用户利用的一个目标，可通过输　脚本　语言等对用户客户端造成损坏；如果该输入框涉及数据查询，可　以利用特殊查询语句，得到更多的数据库数据，甚至表的全部。　因此必须对输入框进行过滤。　主要的防范技巧有：　（１）表单来源过滤。尽可能过滤掉来自非本主机提交过来的　表单，可以判定ｒｅｑｕｅｓｔ．ｓｅｒｖｅｒｖａｒｉａｂｌｅｓ（”ｈｔｔｐ—ｒｅｆｅｒｅｒ”）中是否含有　”ｈｔｔｐ”头的提交地址。如果本页面自带表单处理，还可以进行更　安全的判定。　（２）表单内容的过滤。对于ｉｄ、ｕｓｅｒｉｄ等类型的可以判定是　否为整数来过滤。如：ｈｔｔｐ：／／＊＊＊＊＊／ｊｏｂｓ．ａｓｐ？ｉｄ＝１００中如果未过　滤，可能会被人提交类似ｈｔｔｐ：／／＊＊＊＊＊／ｊｏｂｓ．ａｓｐ？ｉｄ＝１２　ｏｒ　２＝２等　取得非法信息。　（３）分清表单提交方法。对于用ｇｅｔ方法传送数据，则用　ｒｅｑｕｅｓｔ．ｑｕｅｒｙｓｔｒｉｎｇ来读取数据。如果使用ｐｏｓｔ方法传送数据，则　用ｒｅｑｕｅｓｔ．ｏｒｆｍ来读取数据。　（４）严格控制输入框的信息，对ＨＴＭＬ／ＪａｖａＳｃｒｉｐｔ／ＶＢＳｃｒｉｐｔ语　句、特殊字符尽量屏蔽，限定允许输人信息的范围以及对输入字　符的长度进行限制，如果在输入框中输入标准的ＨＴＭＬ语句或　者Ｊａｖａｓｅｒｉｐｔ语句可能会改变输出结果。这样其实是很危险的，　假如在文本输入框中写入的是个Ｊａｖａｓｅｒｉｐｔ的死循环，就有可能　使其他用户的浏览器因死循环而死掉。因此编写类似程序时应　

技术平台　科技经济市场　该做好对此类操作的防范，譬如可以写一段程序判断客户端的　义函数来代替ＡＳＰ中的Ｒｅｑｕｅｓｔ函数，自行组织页面的出错提　输入，或者干脆屏蔽掉所有的ＨＴＭ／　、Ｊａｖａｓｅｒｉｐｔ语句。　示　如：　４文件泄露问题　Ｆｕｎｃｔｉｏｎ　ＳａｆｅＲｅｑｕｅｓｔ（ＰａｒａＮａｍｅ，ＰａｒａＴｙｐｅ）　当存在ａｓｐ的主页正在制作并没有进行最后调试完成以　’一传入参数…　前，可以被某些搜索引擎机动追加为搜索对象，如果这时候有人　ＰａｒａＮａｍｅ：参数名称一字符型　利用搜索引擎对这些『矧页进行查找，会得到有关文件（．ｉｎｅ）的定　’ＰａｒａＴｙｐｅ：参数类型一数值型（１表示以上参数是数　位，并能在浏览器中察看到这些文件完整的源代码，从而导致某　值，０表示以上参数为字符）　些敏感信息的泄露。　Ｄｉｍ　ＰａｒａＶａｈｌｅ　在要解决这一问题，首先在为．ｉｎｅ文件命名时，不要采用系　ＰａｒａＶａｌｕｅ＝Ｒｅｑｕｅｓｔ（ＰａｒａＮａｍｅ）　统默认的或者有特殊含义容易被用户猜测到的文件名，尽量使　Ｉｆ　ＰａｒａＴｙｐｅ＝ｌ　ｔｈｅｎ　用无规则的英文字母。其次还可以对．ｉｎｃ文件内容进行加密。最　Ｉｆ　ｎｏｔ　ｉｓＮｕｍｅｒｉｃ（ＰａｒａＶａｌｕｅ）ｔｈｅｎ　后最好使用．ａｓｐ文件代替．ｉｎｃ文件使用户无法从浏览器直接观　Ｒｅｓｐｏｎｓｅ．ｗｒｉｔｅ“参数”＆ＰａｒａＮａｍｅ＆　看文件的源代码。　“必须为数值型！”　５数据库下载漏洞　Ｒｅｓｐｏｎｓｅ．ｅｎｄ　在用Ａｃｃｅｓｓ做后台数据库时，如果有人通过各种方法知道　Ｅｎｄ　ｉｆ　或者猜到了服务器的Ａｃｃｅｓｓ数据库的路径和数据库名称，那么　Ｅｌｓｅ　这个Ａｃｃｅｓｓ数据库文件将有被下载的危险。　ＰａｒａＶａｌｕｅ＝ｒｅｐｌａｃｅ（ＰａｒａＶａｌｕｅ．…”　……）　对这个的主要防范技巧有：　Ｅｎｄ　ｉｆ　（１）给数据库文件名称起个复杂的非常规的名字，并把它放　ＳａｆｅＲｅｑｎｅｓｔ＝ＰａｒａＶａｌｕｅ　在几层目录下。所谓“非常规”，比如有个数据库要保存的是有　Ｅｎｄ　ｆｕｎｏｔｉｏｎ　关工作的信息，可不要给它起个“ｊｏｂｓ．ｍｄｂ”的名字，而起个怪点　７　ＡＳＰ木马　的名称，比如ｓｄｌ９ｄｆ．ｍｄｈ，并把它放在如．／ｅｄｓｌｆ／ｏ４ｕ／ｐｔｄｉ／的几层　为什么程序被攻破后主机也随之被攻击者占据，原因就在　目录下，这样要想通过猜的方式得到Ａｃｃｅｓｓ数据库文件就难上　于ＡＳＰ木马。它不是病毒，而是被放到Ａｓｐ系统中的一个文件，　加难了。　常常难以找到。如何防止ＡＳＰ木马被上传到服务器呢？如果Ａｓｐ　（２）不要把数据库名写在程序中。有些人喜欢把ＤＳＮ写在　系统要支持文件上传，一点要设定好上传的文件格式，建议不要　程序中，比如：　使用可更改的文件格式，直接从程序上锁定，一般图象文件格　ＤＢＰａｔｈ＝Ｓｍｗｅｒ．ＭａｐＰａｔｈ（“ｊｏｂｓ．ｍｄｂ”）　式，和压缩文件可以被上传就足够了。可参考如下程序代码：　ｃｏｎｎ．Ｏｐｅｎ”ｄｒｉｖｅｒ＝｛Ｍｉｃｒｏｓｏｆｔ　Ａｃｃｅｓｓ　Ｄｒｉｖｅｒ（　．ｍｄｈ）ｌ；ｄｂｑ＝”　’＝：一＝＝一＝＝程序开始一：＝一＝＝　＆ＤＢＰａｔｈ，这样固然可以使程序更加的灵活、方便，但同时也给　’判断文件类型是否合格　数据库带来了可能泄露数据源物理路径的安全隐患，实际上并　Ｐｒｉｖａｔｅ　Ｆｕｎｃｔｉｏｎ　ＣｈｅｃｋＦｉｌｅＥｘｔ（ｆｉｌｅＥＸＴ）　不是一种安全的做法。万一给人拿到源程序，Ａｃｃｅｓｓ数据库的　ｄｉｍ　Ｆｏｒｕｍｕｐｌｏａｄ　名字就一览无余了。如果单纯从安全的角度考虑，建议在ＯＤＢＣ　Ｆｏｍｍｕｐｌｏａｄ＝”ｇｉｆ，ｊｐｇ，ｂｍｐ，ｊｐｅｇ’’　中设立数据源，再在程序中使用数据源名来打开数据库。这样在　Ｆｏｒｕｍｕｐｌｏａｄ＝ｓｐｌｉｔ（Ｆｏｍｍｕｐｌｏａｄ．”，”）　ＡＳＰ的程序文件中将不会直接涉及到数据库文件的物理路径，　ｆ０ｒ　ｉ＝Ｏ　ｔｏ　ｕｂｏｕｎｄ（Ｆｏｒｕｍｕｐｌｏａｄ、　即使文件的源代码泄露，所能看到的也只是一个数据源的名称。　ｉｆ　ｌｅａｓｅ（ｉｆｌｅＥＸＴ￣｝＝ｌｃａｓｅ（ｔｒｉｍ（Ｆｏｒｕｍｕｐｌｏａｄ（ｉ）））ｔｈｅｎ　当然，这样是以牺牲程序的灵活性为代价的。　ｈｅｃｋＦｉ】ｅＥｘｔ＝ｔｎｌｅ　（３）使用Ａｃｃｅｓｓ来为数据库文件编码及加密。首先在“工　具一安全一加密／解密数据库”中选取数据库（如：ｊｏｈｓ．ｍｄｂ），然　ｅｌｓｅ　后按确定，接着会出现“数据库加密后另存为”的窗口，可存为：　ＣｈｅｃｋＦｉ１ｅＥｘｔ＝ｆａｌｓｅ　“ｊｏｂｓ１．ｍｄｂ”。　ｅｎｄ　ｉｆ　接下来为数据库加密，首先打开经过编码了的　ｏｈｓ１．ｍｄｂ，　ｎｅｘｔ　在打开时，选择“独占”方式。然后选取功能表的“Ｔ具一安全一　Ｅｎｄ　Ｆｕｎｃｔｉｏｎ　设置数据库密码”，接着输入密码即可。这样即使他人得到了　’验证文件内容的合法性　ｉｏｂｓＩ．ｍｄｂ文件，没有密码也是无法看到ｊｏｂｓ１．ｍｄｂ中的内容。　ｓｅｔ　ＭｙＦｉｌｅ＝ｓｅｌｗｅｒ．ＣｒｅａｔｅＯｂｊｅｃｔ（”Ｓｃｒｉｐｔｉｎｇ．ＦｉｌｅＳｙｓｔｅｍＯｂｊｅｃｔ”）　６　ＳＱＬ注入漏洞　ｓｅｔ　ＭｙＴｅｘｔ＝ＭｙＦｉｌｅ．ＯｐｅｎＴｅｘｔＦｉｌｅ（ｓＦｉｌｅ，１）’读取文本文件　注入漏洞在网上极为普遍，通常是由于程序员对注人不了　ｓＴｅｘｔＡｌｌ＝ｌｅａｓｅ（ＭｙＴｅｘｔ．ＲｅａｄＡｌ１）：ＭｙＴｅｘｔ．ｃｌｏｓｅ　解，或者程序过滤不严格，或者某个参数忘记检查导致。ＳＱＬ注　’判断用户文件中的危险操作　入的原理，就是从客户端提交特殊的代码，从而收集程序及服务　ｓＳｔｒ＝”８．ｇｅｆｆｏｌｄｅｒ．ｃｒｅａｔｅｆｎｌｄｅｒ．ｄｅｌｅｔｅｆｏｌｄｅｒ．ｅｒｅａｔｅｄｉｒｅｅｔｏｒｙ　器的信息，从而获取你想到得到的资料。ＳＱＬ注入是从正常的　．ｄｅｌｅｔｅｄｉｒｅｃｔｏｒｙ”　ｗｗｗ端口访问，而且表面看起来跟一般的Ｗｅｂ页面访问没什　ｓＳｔｒ＝－ｓＳｔｒ＆”．ｓａｖｅａＳ　ｗｓｃｒｉｐｔ．ｓｈｅｌｌ　ｓｃｒｉｐｔ．ｅｎｃｏｄｅ”　么区别，所以目前市面的防火墙都不会对ＳＱＬ注入发出警报。　ｓＮｏＳｔｒｉｎｇ＝ｓｐｌｉｔ（ｓＳｔｒ．””）　防范技巧：　ｆｎｒ　ｉ＝ｌ　ｔｏ　ｓＮｏＳｔｒｉｎｇ（０）　（１）程序设计时，最重要的是对客户端提交的变量参数进行　ｉｆ　ｉｎｓｔｒ（ｓＴｅｘｔＡｌ１．ｓＮｏＳｔｒｉｎｇ（ｉ））＜＞０　ｔｈｅｎ　严格的过滤检查：　ｓＦｉｌｅ＝Ｕｐ１．Ｐａｔｈ＆ｓＦｉｌｅＳａｖｅ：ｆｓ．ＤｅｌｅｔｅＦｉｌｅ　ｓＦｉｌｅ　（２）程序错误处理能力要设计周全、合理，避免泄露数据库　Ｒｅｓｐｏｎｓｅ．ｗｒｉｔｅ”＜ｃｅｎｔｅｒ＞＜ｂｒ＞＜ｈｉｇ＞”＆ｓＦｉｌｅＳａｖｅ＆”文　相关信息。一方而可以指定出错的页面，另一方面，可通过自定　（下转第４页）　２０１０年第２期　

台　企业，与企业原来的形态，肯定不一样，这就是差异，也就是变　异。　技经济市场　企业文化等）。因此，对企业基因进行重组，就是对企业的法律形　态、产品类型、组织形态、企业文化等制约企业发展的元素片段　进行重新组合。企业基因的不同组合，会使企业形态各异。下面　仅以企业的法律形态、产品类型、组织形态基因片段为李，来说　明企业基因的组合的情况（见表１）。　３．２．２诱发企业基因突变　基因突变是指由于ＤＮＡ碱基对的置换、增添或缺失而引起　的基因结构的变化。在自然条件下发生的突变叫自发突变，由人　工利用物理因素或化学药剂诱发的突变叫诱发突变。基因突变　是生物变异的主要原因，是生物进化的主要因素。在生产上人工　诱变是产生生物新品种的重要方法。　企业虽然是一个生命体，自身也具有基因，但它是一个人在　系统，不是自组织，因而无法自动完成基因的突变，必须由人工　来诱发。例如，企业法律系形态有不同的种类，产品多种多样，组　织形态也有很多。这三类基因片段的不同变化，都可以引起企业　的变异。因此，企业可以通过诱发这ｊ类基因片段发生变化的方　式，来实现企业的蜕变。不同的诱发情况见表２。　表２　诱发企业基因突变实现企业蜕变的不同情况　、当然，企业作为～个人造系统，虽然具有生命体的某些特　征，但它不完全是一个自组织。也就是说，企业的变异（蜕变）是　不可能自动完成的，必须有外界力量的推动和控制。由于管理企　业的是人，所以，企业蜕变（变异）的过程必须由企业的员工来完　成。企业的员工（主要是管理人员）可以通过某种方式诱发企业　基因突变或直接对企业基因进行重组，来完成企业变异（蜕变）　的过程。　３．２企业蜕变的方法是重组企业基因或诱发企业基因突变　３．２．１重组企业基因　・　奥瑞克、琼克和威伦（２００３）【４］最先提出企业基因重组的概　念。他们把企业基因（也称能力要素）定义为企业的基本结构元　素，并提出将业务单元重新进行组合（即将本企业某些部分与企　业外的一些部分重新组合），用类似在生物工程中取出一个好的　基因来刨造一个全新的、更强的基因组的做法，形成更有效的企　业ＤＮＡ，组建一个更专业、更简洁的企业组织ｌ　５ｌ。　就像人的体态特征是由一系列复杂的人类基因组所决定的　那样，他们视企业为一个能力要素的组合，并认为正是分布于企　业中的这些能力要素决定了企业的价值。通过对大量基因图谱　的研究，我们对人类基因的组合序列有了逐渐清晰的认识。然而　在商业领域，一个崭新的企业基因工程时代已经渐露端倪。　过去我们关注的是整个企业或业务单元的健康，而未来我　们将越来越多地关注独立的业务构成单元，即企业基因。每个业　务能力要素就是企业价值链中对企业产品有独特贡献的一个组　成部分。企业基因组掌握着企业的“遗传密码”，这些“遗传密码”　决定了企业销售什么、销售对象是谁以及可以配置哪些资源１６］。　表１　、＼、＼纽　基因片段　刃、＼、＼　法律形态　产品类型　组织形态　ｌ　２　不变　不变　不变　变化　变化　不变　３　４　～　６　变化　变化　不变　变化　不变　变化　文化　不变　不变　不变　变化　变化　企业基因的不同组合促使企业蜕变　法律形态　产品类型　组织形态　、基因片段　＼　组合惰　、＼、１　２　３　表２只给出了６种大致组合情况，其实，如果将每个基因片　段的详细种类都写出来，企业变异的类型可能有好几十种。　参考文献：　相同的　相同的　不　的　相同的　不同的　相同的　不同的　摆同的　相同的　…丁任重．企业生命体ＩＭ］．北京：天地出版社，２００４．　［２］韩福荣，徐艳梅　企业仿生学【Ｍ］北京：企业管理出版社，２００２．　【３］武汝廷企业基因管理模式初步设计　河北经贸大学学报，２００４（２）：　７０－７６．　４　不厨的　不同的　棺同的　　【５　６　相匮的　不同的　不同的　相同的　不同的　不同的　［４］（荷）约翰－ｃ．奥瑞克等．企业基因重组【Ｍ】．北京：电子工业出版社，　２００３．　企业基因是企业生命体中某些具有遗传功能的能够影响和　制约企业发展的元素的片段（如企业制度类型、产品、组织形态、　［５］刘燕娜，戴永务，林纾等．基于企业基因重组理论的资源节约型企业的　创建研究Ｕｊ生态经济，２００６（５）：６２—６３，６７．　【６】王伟，黄瑞华企业基因重组理论与国有企业战略转换［『１ｌ预测，２００５　（１）：３４—３９．　（上接第６页）　件中含有与操作目录等有关的命令”＆一　”＜ｂｒ＞＜ｆｏｎｔ　ｃｏｌｏｒ＝ｒｅｄ＞”＆ｍｉｄ（ｓＮｏＳｔｒｉｎｇ（ｉ），２）＆”＜　／ｆｏｎｔ＞，为了安全原因，＜ｂ＞不能上传。＜ｂ＞”＆一”＜／ｂｉｇ＞＜　／ｃｅｎｔｅｒ＞＜／ｈｔｍｌ＞”　Ｒｅｓｐｏｎｓｅ．ｅｎｄ　ｅｎｄ　ｉｆ　ｎｅｘｔ　过是沧海一粟。由于笔者的水平有限，一些相关理论未能深入地　探讨和阐述，只是基于基本层面的一个综合研究，理论深度还有　所欠缺，希望在今后的工作和学习的过程中可以继续在相关的　领域中学习和发展。　参考文献：　［１］庞娅娟，孙明丽等．ＡＳＰ技术方案宝典【Ｍ】．北京：人民邮电出版社，　２００８　程序结束＝＝：一：＝＝＝＝＝＝＝　把这段代码加到上传程序里做一次验证，那么上传程序安　全性将会大大提高。　Ｗｅｂ安全问题是一项非常庞大的系统工程，本文提及的不　＝：＝一＝一：＝＝’［２】张庆华ｌｆ司络安全与黑客攻防宝典ＩＭ］北京：电子工业出版社，２００７．　ｆ３］Ｍｉｋｅ　Ｓｈｅｍａ　Ｗｅｂ安全手－￣ｔｌｆ－［Ｍ］．北京：清华大学出版社，２００５．　［４】（美）豪沃（Ｈｏｗａｒｄ，Ｍ．），（美）勒伯兰克（ＬｅＢｌａｎｃ，Ｄ．）等．软件安全相　关的１９个致命漏洞ｐ州北京：清华大学出版社，２００６．　。　２０１０年第２期