张正做

浙江省食品药品检验研究院 浙江 杭州 310052

随着现代化社会快速发展，各企业和政府部门都在各方面加大投资与创新力度，网站作为对外信息发布的窗口受到越来越多的重视。当前，有许多企事业单位越来越多的在网站上开展各项工作，针对各类现代化技术应用，虽然扩大自身影响范围，但忽视网页设计安全性，使其设计存在安全缺陷及隐患，不但未达到预期发展要求，反而带来一定经济损失。对此情况，各企事业单位自身逐渐意识到网站设计防护功能重要性，把工作重心调整到网页设计安全性提升方面，从而能满足企业发展需求。

一、网站建设中网页设计安全隐患

基于网页环境条件下，新型互联网产品及各项技术被广泛应用，企事业单位发展方向也发生相应的改变，结合自身发展状况，把各项工作都放在Web平台上开展，虽然提升了各项工作质量与效率，但是也逐渐引起了黑客们的关注，导致网页安全性受到威胁，黑客们能借助Windows系统自身漏洞或网页服务程序中人机交互SQL注入漏洞等，获取到网页服务器控制权限，并开始操控网页，随意篡改网页中的信息数据、相关内容等，更严重的是先复制网页内部信息数据，然后对原始信息数据破坏或删除，再注入木马病毒或恶意代码，使所删除的原始数据无法恢复，导致网站崩溃、瘫痪等。

虽然设计者们对网站安全重点保护，各项技术水平显著提升，但是黑客技术手段不断变化，使设计者们处于被动形式下，无法准确掌握黑客们的技术手段，加大网站安全监管难度[1]。

例如:黑客们根据ASP程序自身漏洞，可攻击网站、操控网站，虽然用户们依然可以对此类网站正常访问或使用，但是一旦查看网站源代码，就会发现有一些不明含义的隐藏内容，网页设计出现了安全缺陷，对网站安全性、稳定性等造成干扰或破坏。

二、网站建设中网页设计的安全缺陷

(一)SQL注入安全缺陷。SQL注入，通过人机交互操作实现，那么在网站设计环节中，如果忽视对用户输入数据正当性考虑，就会为黑客们提供攻击条件，借助SQL注入环节，在查询SQL代码时可逐步返回程序，获取到相关信息据，会因SQL注入安全缺陷，导致网站系统及网页受到攻击、破坏。

(二)文件上传安全缺陷。文件上传安全缺陷，是指黑客们在网站上上传了一个可执行的恶意代码，使网站服务器被执行。如:电子邮件网站、论坛等，在网站功能设计方面具备文件、图片、视频等上传功能[2]。同时，完成文件上传操作后，相关内容会被储存到网站服务器数据库中。虽然为网络用户提供了储存各类内容的有利条件，但是因设计者忽视网站身份过滤、排查等功能设计，使网站服务器不会对网络用户身份进行限制，为黑客们攻击网站、获取信息数据等提供条件。

例如:黑客们利用Telnet服务功能，对网站服务器中所储存的信息数据进行复制、修改、破坏等。再上传木马程序、病毒等，导致网站服务受到恶意攻击，面临网站瘫痪等情况。

(三)登录验证安全缺陷。设计者对网站网页设计，考虑到用户们个人信息及相关内容的安全性，在用户登录网站时，会有一个登陆验证的程序设计。但是因登陆验证功能安全性较低，使黑客们在此环节中攻克登陆验证信息，直接进入到网站网页中，也会对网站系统造成破坏。

例如:登录验证页面漏洞，大部分网站会在网站登录页面上要求用户输入用户名、密码，然后才可进入到相关页面中。那么网站系统对用户身份信息的验证，只是单凭所输入的用户名与密码，但程序设计不严谨，则出现登录验证安全缺陷，依然使网站网页设计存在安全隐患。

(四)网站授权安全缺陷。部分设计者对网站网页编程设计，会繁琐地使用网络安全配置，但却没有考虑到网站授权情况，使网络服务运行环节中，存在巨大的网站授权安全缺陷[3]。基于此情况下，黑客们会利用网站授权安全缺陷，轻松地入侵到网站网络服务器中，并可以对网站服务器进行远程操控，无法确保网站安全性，导致企业经济利益受到严重的威胁。

三、网站建设中网页设计安全缺陷解决

(一)加大SQL注入预防力度。在网站设计中，SQL是必不可少的后台数据库语言，通常情况下，会以一些特殊性的字符代替，如:“*”。主要目的就是能够对相关内容进行模糊匹配，避免重要内容或信息数据直接暴露。但大部分设计者在网站设计初期，均忽视SQL语言书写规范性，导致特殊字符应用效果不佳，出现SQL注入设计安全缺陷。对此情况，还需引起设计者们的重视，能在SQL注入方面加大预防力度，先打开配置文件中的magic_quotes_gpc、magic_quotes_runtime；再设置register_globals处于off状态，并关闭全局变量注册；最后，对数据库、数据表字段重新命名，可确保SQL注入安全性。

在SQL注入过程中对数据库、数据表字段重新命名，要考虑到名字难易程度，不易被黑客们破译。如:姓名字段，不要以“name”字段命名。

(二)控制文件上传安全性。结合上述内容中对文件上传安全缺陷原因分析，了解到文件上传安全缺陷对网站系统安全性的影响，还需设计者能在此方面加大设计力度，通过控制文件上传安全性，避免恶意执行文件上传到网站服务器中。第一，针对文件上传功能设计，考虑文件类别，可设置文件目录，并在文件目录中分开处理可执行文件与不可执行文件。简单的说，文件目设置，就只能对可执行文件进行存放，而不可进行其它操作[4]。第二，根据文件类型做出合理化的判断。主要是在文件上传环节中，把除可执行文件的内容均进行阻挡，能控制黑客们恶意文件的上传。第三，采用随机数修改上传文件名字，并在文件上传路径上进行了多样化的创新，从而避免在文件上传环节中存在安全隐患。

(三)完善登录验证功能。完善登录验证功能，其一，在用户名注册、密码添加环节中就对用户身份进行了限制，如:非法用户及非法用户名等不准申请；其二，借助SQL特殊性语言与符号，会在用户名及密码登录后进行查询、验证，初步完成用户信息数据过滤工作，从根本上进行非法账号、密码的输入；其三，用户信息验证环节中，不急于各项信息数据的匹配，而是先验证用户名，待用户名验证成功，再验证密码，有效确保登录验证安全性。

(四)加固处理Web安全性。因网页篡改、攻击等方式较多，为避免网页设计存在安全缺陷，增强网站服务系统稳定性与安全性，还需在网页设计环节中加固处理Web安全性，确保网页 不易被修改[5]。基于此条件下，再搭配网页设计、应用程序，提升网页、网站系统防护功能性，如:Active Server Page、Hypertext Preprocessor、Java Server Pages等，应用 ASP、PHP、JSP等搭建网站后台程序，在网站后台程序开发阶段就考虑到整体安全性，制定完善的设计方案，并在网站后台程序后期维护环节中，由专业化设计人员进行全程监管，应用互联网技术，对网站系统、网页设计安全性进行精细化、全面性、动态化监管，能把安全隐患控制到最小化，最大化地提升网站系统、网页Web安全性。

此外，通过对Web安全性加固处理，虽然表面上与以往的网页设计无明显差别，但是在实际应用的过程中，却相当于设计了一个“功能健”，能对网站中所涉及到的所有程序及内容掌控，利用表单实现人机交互操作程序，用户们可根据自身需求把相关内容上传及储存到数据库中，而黑客们对用户上传与储存的信息数据无法预测，一旦有黑客攻击网站，网页设计中的防护功能就会发挥出自身作用，从而避免网站系统、网页等受到攻击。

结语

结合上述中相关内容分析，能够了解到网站建设中网页设计安全隐患存在的影响性，还需设计者们能依据实际情况展开全面性的探究与分析，掌握网站建设中网页设计安全隐患存在的具体原因，并从根源上进行有效解决。关于网页设计安全缺陷探究，本文选择SQL注入安全缺陷、文件上传安全缺陷、登录验证安全缺陷、网站授权安全缺陷四点内容分析，以此为基础，制定完善的防护方案与措施，从而确保网站运行稳定性与安全性，为各领域创新发展提供有利条件。