V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
scarlex
V2EX  ›  问与答

写网站后台有哪些地方是需要注意的?

  •  
  •   scarlex · 2013-12-06 22:24:35 +08:00 · 4436 次点击
    这是一个创建于 3995 天前的主题,其中的信息可能已经有所发展或是发生改变。
    突然想试试为自己的站写个后台。
    除了数据库的增删查改操作之外还有什么需要注意的?

    暂时先不讨论前端部分。
    12 条回复    1970-01-01 08:00:00 +08:00
    skydiver
        1
    skydiver  
       2013-12-06 22:32:37 +08:00 via Android   ❤️ 2
    别忘了过滤用户的输入防止XSS
    scarlex
        2
    scarlex  
    OP
       2013-12-06 22:49:05 +08:00
    @skydiver
    后台要处理的安全问题大概有哪些?
    我目前只知道要注意 XSS CSRF SQL注入。
    ihacku
        3
    ihacku  
       2013-12-06 23:32:41 +08:00   ❤️ 1
    后台登陆页要有验证码 防止暴力破解管理密码
    有的写的不好的后台有些页面可以不登陆就可以访问 检查一下
    验证上传文件的格式 避免被传webshell
    过滤一句话shell关键字
    安全要求较高的话可以增加两步验证
    https://www.duosecurity.com/
    scarlex
        4
    scarlex  
    OP
       2013-12-06 23:55:31 +08:00
    @ihacku
    感谢!
    letitbesqzr
        5
    letitbesqzr  
       2013-12-07 00:18:48 +08:00   ❤️ 1
    我来从安全角度说吧。
    首先上传功能,一定要过滤好各种后缀名.. 也要注意上传的时候如果遇到%00的时候的处理,还有iis6的解析漏洞1.jpg;x.asp 还有如果同时传两个文件上来的处理..建议用各种语言对应的安全模块。。
    sql注入什么的都比较好过滤...csrf一定要防御好... 像wordpress这种后台就十分危险.. 知道拿到后台密码,几乎webshell就拿下了..后台直接可以上传php或编辑php
    letitbesqzr
        6
    letitbesqzr  
       2013-12-07 00:20:14 +08:00   ❤️ 1
    还有就是后台查看用户的资料或者留言的时候 一定要过滤好xss..或者设置session 遇到ip 以及 useragent 不同就自动销毁session. php的ci框架就自带这功能..
    9hills
        7
    9hills  
       2013-12-07 00:25:06 +08:00   ❤️ 1
    选一个靠谱的框架,能基本解决大部分问题
    scarlex
        8
    scarlex  
    OP
       2013-12-07 00:38:00 +08:00
    @letitbesqzr
    @9hills
    感谢已发送~
    框架方面打算用 flask 这种微框架来练习一下。

    --------
    有安全以外的方面可以分享下嘛?
    我主要想知道后台除了数据库操作,安全以外还有什么其他方面需要注意的。
    MichaelYin
        9
    MichaelYin  
       2013-12-07 11:25:37 +08:00   ❤️ 1
    不要只在登陆页面进行检测用户。。。曾经见过的活生生的栗子。。。
    框架只是方便你干事情,不要期待它把事情都做了。。
    scarlex
        10
    scarlex  
    OP
       2013-12-07 12:10:36 +08:00
    @MichaelYin
    能具体讲一下这个例子嘛?
    9hills
        11
    9hills  
       2013-12-07 12:46:24 +08:00   ❤️ 1
    @scarlex 用了flask基本不用操心ls的所有安全需求

    数据库可以用flask-sqlarchemy,SQL注入自然不用操心。。
    表单可以用Flask-WTF,输入过滤啦,CSRF保护啦都通通都有了
    不想用wtforms就想自己写,那么用Flask-SeaSurf也可以保护csrf
    用户登陆和权限控制就更方便了,Flask-Login Flask-Principal
    scarlex
        12
    scarlex  
    OP
       2013-12-07 15:32:52 +08:00
    @9hills
    感谢分享~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4070 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 10:19 · PVG 18:19 · LAX 02:19 · JFK 05:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.