ASP.NET+SQLSERVER技术建站安全性浅谈

肖宁　马晓荣

[摘要] 为增强网站安全从网站设计者角度探讨ASP.NET+SQLSERVER设计网站时易出现的安全问题并给出相应方法。

[关键词] 网站 安全

随着B/S应用的发展，更多的程序员用ASP.NET+SQLSERVER开发网站。ASP.NET是全新的创建动态web内容的服务器端技术，SQLSERVER是基于服务器端的企业级数据库，用于大容量数据和大流量网站，在安全性、效率等方面比Access强大的多。故将SQLSERVER与ASP.NET结合是目前大中型网站建设的首选。其伴随的安全问题也日益被关注。若在开发时就对常见安全漏洞有预见，并预防，可大大降低构建安全网站成本，使网站更有效地应对攻击。

ASP.NET +SQLSERVER常见安全问题

1.数据库泄密

数据库是网站运营的基础，密码等重要信息若以明文存于库，一旦被入侵就可对信息进行破坏。

2.绕过注册页隐患

用表单交互时内容可能会反映到地址栏，若未采取措施，记下这些内容就可绕过验证直接进入页面。如在浏览器中敲入“bk.aspx？id=3”，则绕过表单页直接进入“id=3”的bk.aspx页。

3. SQL注入

4.输入恶意脚本

5.暴力破解登录密码

开发者在用户密码的验证代码中未考虑到恶意用户会暴力破解密码。

6.文件上传漏洞

文件上传可用fileupload控件轻松实现，但若缺少对提交文档的检查，网页木马或带病毒的文件就可能被上传。

ASP.NET+SQLSERVER安全问题对策

1.数据库泄密对策

2.绕过注册页对策

3.防SQL注入

4.消除恶意脚本

5.暴力破解密码对策

增加随机码校验，将它与用户名密码组合可增加破解难度；还可设置最多登录数，若超过阀值就可锁定或跳到指定页。

6.文件上传安全对策

本文从开发者角度指出ASP.NET+SQLSERVER方案中易出现的安全问题并给出对策，对开发安全网站有较强的指导作用。

参考文献：

[1]周维霞.基于ASP.NET的网站设计安全问题研究[J].电脑知识与技术，2009，5.

[2]李婷.ASP.NET网站中SQL注入攻击及防范[J].科技资讯，2010，34.

[3]李杨.网站安全漏洞解析[J].四川兵工学报，2012，33.

作者单位：陕西职业技术学院计算机系 陕西西安