设计表单时应牢记屏幕宽度为240像素。输入控件应放置在不同行上,以避免不必要的滚动。各个域应限制在小型屏幕区域内。如果需要显示客户选定的产品图像,应将相关描述文字放置在图像下放而非后部。 为信息站点提供最佳性能 除为电子商务站点提供最佳性能所需注意的问题外,在设计信息站点时,还需注意其它一些要点: 信息站点应支持脱机浏览 避免使用那些不支持脱机工作的元素,如表单域、大位图、gif动画或过多的广告。许多新的信息站点要求对指定文章给予简短反馈。由于需要向服务器发回信息,脱机用户将不能使用这项功能。然而,pocket pc支持在脱机状态下发送电子邮件消息,因此,可以在页面中加入mailto链接。 将精力集中在实质性内容上 不要显示那些pocket internet explorer用户不大可能浏览的链接,如视频/音频链接或大型图片的幻灯显示。 在相互链接的页面间使用内容表格页面 ...
原文地址:http://www.sitepoint.com/article/php-security-blunders其实开个金山慢慢扫过去..基本都能看懂.呵呵.就是翻译出来不通顺.寒水平有限,读不通顺的地方请见谅.哈哈phzzy 2005-12-31www.phzzy.org****************************top 7 php security blundersby pax dickinson2005 - 12 - 21reader rating: 8.2php对于飞速发展的动态网站来说是一门恐怖的语言。它对于新手来说也有很多友好的性质,比如变量不需要定义就可以直接使用。但是,一些类似的这种性质使程序员不会注意到在网站应用方面的一些安全问题。一个非常著名的邮件列表就充满很多条了对php应用有漏洞的例子,但一旦你理解了php应用中这些基本的漏洞,php将变得比其他任...
现在国内提供支持asp的免费空间越来越多了,对于asp爱好者来说无疑是个好的势头,但是很多提供免费asp空间的站点都没有对filesystemobject这个对象做出任何限制,这也就导致了安全问题。比如,今年愚人节“东莞视窗”所有的主页都遭到了黑客的攻击,其实做这件事情很简单,就是使用filesystemobject对象,具体的程序就不再讨论了。而另外一个比较有名的提供asp空间的站点“网界”同样也存在这个安全漏洞,很容易遭到攻击。不仅仅是这些提供免费空间的站点存在这个安全漏洞,很多国内的虚拟主机提供商同样也存在这个安全隐患。这样给商业用户带来的危害就很大了。 那么我们如何才能限制用户使用filesystemobject对象呢?一种极端的做法是完全反注册掉提供filesystemobject对象的那个组件,也就是scrrun.dll。具体的方法如下: 在ms-dos状态下面键入:regsv...
涉及程序:microsoft iis server描述:iis使有权上传和使用asp程序的用户能更改任何文件详细:这是iis的一个非常严重的漏洞,即使是iis4.0,仍然没有补上这个漏洞: 你建立如http://www.cnns.net/frankie/text/aspwrite.txt这样一个简单的asp程序取名为write.asp,注意,程序不允许换行!然后上传到任何一个web目录中(允许脚本执行),如:http://www.xxx.com/frankie/write.asp然后在浏览器中输入该地址这样,将替换首页! 红字黑底,显示: this page was hacked by small-hacker!解决方案:没有相关补丁,只能禁止非管理员的用户上传asp程序并执行脚本安全建议:管理员应该知道这样一个事实:如果给用户开放asp上传和脚本执行权限,等于把整个系统的控制权交给了用户...
6、数据库下载漏洞 攻击原理:在用access做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的access数据库的路径和数据库名称,那么他也能够下载这个access数据库文件,这是非常危险的。 防范技巧: (1)为你的数据库文件名称起个复杂的非常规的名字,并把它放在几层目录下。所谓 “非常规”, 打个比方说,比如有个数据库要保存的是有关书籍的信息, 可不要给它起个“book.mdb”的名字,而要起个怪怪的名称,比如d34ksfslf.mdb, 并把它放在如./kdslf/i44/studi/的几层目录下,这样黑客要想通过猜的方式得到你的access数据库文件就难上加难了。 (2)不要把数据库名写在程序中。有些人喜欢把dsn写在程序中,比如: dbpath = server.mappath(“cmddb.mdb”) conn.open “driver={microsoft acc...
如何更好的达到防范黑客攻击,本人提一下个人意见!第一,免费程序不要真的就免费用,既然你可以共享原码,那么攻击者一样可以分析代码。如果在细节上注意防范,那样你站点的安全性就大大的提高了。即使出现了sql injection这样的漏洞,攻击者也不可能马上拿下你的站点。 由于asp的方便易用,越来越多的网站后台程序都使用asp脚本语言。但是, 由于asp本身存在一些安全漏洞,稍不小心就会给黑客提供可乘之机。事实上,安全不仅是网管的事,编程人员也必须在某些安全细节上注意,养成良好的安全习惯,否则会给自己的网站带来巨大的安全隐患。目前,大多数网站上的asp程序有这样那样的安全漏洞,但如果编写程序的时候注意一点的话,还是可以避免的。 1、用户名与口令被破解 攻击原理:用户名与口令,往往是黑客们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。 防范技巧:涉及用户名与口令的程序最好封装在服...
1.最佳网络浏览器ie是一个不错的浏览器,但是它现在已经成为许多人恶意攻击的目标而存在着一个严重的安全危机。详细说,由于大部分的替代品提供tabbed browsing和技术不断提高,浏览器本身也在日益更新。有许多不错的ie替代品,但是mozilla firefox是最佳的选择。它比ie更为安全,以至于许多用户使用至今都没有发现它被病毒传染。1.0版发行后,它的浏览速度比ie更加快速,也更为稳定和可靠。它的启动速度比ie稍慢,但是一旦运行就变得非常快速。随着tabbed browsing和更多扩展插件的出现,它使你的浏览习惯得到了一个升级。不像ie,firefox有很好的兼容性。firefox是我最常用的浏览器,虽然偶尔我还是需要打开ie来浏览一些必须要用ie浏览的网页。 (4.7 mb)软件主页:http://www.mozilla.org/product/firefox/下载地址:h...
对于 web 应用程序,安全登录是很重要的。但是目前大多数 web 系统在发送登录密码时是发送的明文,这样很容易被入侵者监听到密码。当然,通过 ssl 来实现安全连接是个不错的方法,但是很多情况下我们没办法将服务器设置为带有 ssl 的 web 服务器。因此如果在登录系统中加入安全登录机制,则可以在没有 ssl 的 web 服务器上实现安全登录。要实现安全登录,可以采用下面三种方法,一种基于非对称加密算法,一种基于对称加密算法,最后一种基于散列算法。下面我们来分别讨论这三种方法。非对称加密算法中,目前最常用的是 rsa 算法和 ecc(椭圆曲线加密)算法。要采用非对称加密算法实现安全登录的话,首先需要在客户端向服务器端请求登录页面时,服务器生成公钥和私钥,然后将公钥随登录页面一起传递给客户端浏览器,当用户输入完用户名密码点击登录时,登录页面中的 javascript 调用非对称加密算法对用...
all_raw客户端发送的所有http标头,其结果和客户端发送时一样,没有前缀http_ appl_md_path应用程序的元数据库路径。appl_physical_path与应用程序元数据库路径相应的物理路径。auth_password当使用基本验证模式时,客户在密码对话框中输入的密码。auth_type这是用户访问受保护的脚本时,服务器用于检验用户的验证方法。auth_user代验证的用户名。cert_cookie唯一的客户证书id号。cert_flag客户证书标志,如有客户端证书,则bit0为0。如果客户端证书验证无效,bit1被设置为1。cert_issuer用户证书中的发行者字段。cert_keysize安全套接字层连接关键字的位数,如128。cert_secretkeysize服务器验证私人关键字的位数。如1024。cert_serialnumber客户证书的序列号字段。cer...
您现在可能已在使用 javabean,但还不了解它。如果有支持 java 的浏览器,那么,在桌面上使用 javabean 就没有限制。使用的 web 页面可以将 bean 作为小应用程序的一部分。 您很快就会和作为浏览器可视部分的 javabean 交互,然后,那些 javabean 将与服务器上的 ejb 接口。这种能力也可以扩展到因特网和内部网。 javabean 和 server bean(通常称为 enterprise javabean (ejb))有一些基本相同之处。它们都是用一组特性创建,以执行其特定任务的对象或组件。它们还有从当前所驻留服务器上的容器获得其它特性的能力。这使得 bean 的行为根据特定任务和所在环境的不同而有所不同。 这开辟了巨大商机。因为 javabean 是与平台无关的,所以对于将来的解决方案,供应商可以轻易向不同用户推出其客户机方的 javabean,而...
Java Asp PHP .Net XML C/C++ CGI VB Jsp J2ee J2se J2me EJB Servlet Tomcat Resin Struts Weblogic Eclipse ANT GUI JMS Web servise IDEA Webphere Hibernate Spring Jboss Applet Swing Socket Javamail Perl Ajax P2P 安全 模式 框架 测试 开源 游戏
Windows XP Windows 2000 Windows 2003 Windows Me Windows 9.x Linux UNIX 注册表 操作系统 服务器 应用服务器
