写网站后台有哪些地方是需要注意的?

2013-12-06 22:24:35 +08:00
 scarlex
突然想试试为自己的站写个后台。
除了数据库的增删查改操作之外还有什么需要注意的?

暂时先不讨论前端部分。
4453 次点击
所在节点    问与答
12 条回复
skydiver
2013-12-06 22:32:37 +08:00
别忘了过滤用户的输入防止XSS
scarlex
2013-12-06 22:49:05 +08:00
@skydiver
后台要处理的安全问题大概有哪些?
我目前只知道要注意 XSS CSRF SQL注入。
ihacku
2013-12-06 23:32:41 +08:00
后台登陆页要有验证码 防止暴力破解管理密码
有的写的不好的后台有些页面可以不登陆就可以访问 检查一下
验证上传文件的格式 避免被传webshell
过滤一句话shell关键字
安全要求较高的话可以增加两步验证
https://www.duosecurity.com/
scarlex
2013-12-06 23:55:31 +08:00
@ihacku
感谢!
letitbesqzr
2013-12-07 00:18:48 +08:00
我来从安全角度说吧。
首先上传功能,一定要过滤好各种后缀名.. 也要注意上传的时候如果遇到%00的时候的处理,还有iis6的解析漏洞1.jpg;x.asp 还有如果同时传两个文件上来的处理..建议用各种语言对应的安全模块。。
sql注入什么的都比较好过滤...csrf一定要防御好... 像wordpress这种后台就十分危险.. 知道拿到后台密码,几乎webshell就拿下了..后台直接可以上传php或编辑php
letitbesqzr
2013-12-07 00:20:14 +08:00
还有就是后台查看用户的资料或者留言的时候 一定要过滤好xss..或者设置session 遇到ip 以及 useragent 不同就自动销毁session. php的ci框架就自带这功能..
9hills
2013-12-07 00:25:06 +08:00
选一个靠谱的框架,能基本解决大部分问题
scarlex
2013-12-07 00:38:00 +08:00
@letitbesqzr
@9hills
感谢已发送~
框架方面打算用 flask 这种微框架来练习一下。

--------
有安全以外的方面可以分享下嘛?
我主要想知道后台除了数据库操作,安全以外还有什么其他方面需要注意的。
MichaelYin
2013-12-07 11:25:37 +08:00
不要只在登陆页面进行检测用户。。。曾经见过的活生生的栗子。。。
框架只是方便你干事情,不要期待它把事情都做了。。
scarlex
2013-12-07 12:10:36 +08:00
@MichaelYin
能具体讲一下这个例子嘛?
9hills
2013-12-07 12:46:24 +08:00
@scarlex 用了flask基本不用操心ls的所有安全需求

数据库可以用flask-sqlarchemy,SQL注入自然不用操心。。
表单可以用Flask-WTF,输入过滤啦,CSRF保护啦都通通都有了
不想用wtforms就想自己写,那么用Flask-SeaSurf也可以保护csrf
用户登陆和权限控制就更方便了,Flask-Login Flask-Principal
scarlex
2013-12-07 15:32:52 +08:00
@9hills
感谢分享~

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/92128

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX