ASP开发网页牢记注意事项

ASP网页开发的关键注意事项

在ASP网页开发中，确保应用的安全性和稳定性至关重要。以下是在开发过程中需要牢记的一些关键注意事项。

一、用户输入验证

永远不要相信用户输入的内容具有适当的大小或包含适当的字符。在做出任何决策之前，务必对用户输入进行详尽的验证。为增强安全性，可以创建一个COM+组件，从ASP页面中调用该组件来验证用户输入。你也可以使用Server.HTMLEncode、Server.URLEncode等方法，或者参考底部的代码示例。

二、数据库安全

三、SQL账户安全

避免使用默认的SQL管理员账户名sa。每个使用SQL的用户都知道sa账户的存在，建议创建具有安全可靠密码的其他SQL管理账户，并删除sa账户。

四、密码存储

在存储客户端用户密码时，务必使用哈希算法进行加密，或者使用base64编码、Server.HTMLEncode或Server.URLEncode进行编码。可以参考底部的代码示例进行验证。

五、管理账户安全

切勿在管理脚本或ASP页面中放置管理账户名或密码。

六、请求标题处理

不要根据请求标题在代码中做出决策，因为标题数据可以被恶意用户伪造。在使用请求数据前，务必对其进行编码或验证。

七、会话安全

对于基于会话的应用程序，始终使用安全套接字层（SSL）以避免未加密的会话Cookie带来的风险。如果会话Cookie未加密，恶意用户可能利用它们进入其他应用程序。

八、ISAPI应用程序和COM+对象开发注意事项

在编写ISAPI应用程序、筛选器或COM+对象时，要警惕缓冲区溢出问题，并注意可能由于解释造成的规范化问题。例如，绝对路径名可能被解释为相对路径名或URL。

九、线程模型切换注意事项

当ASP应用程序从单线程单元（STA）切换到多线程单元（MTA）时，模拟令牌将过时。这可能导致应用程序在无模拟的情况下运行，让其用可能允许访问其他资源的进程的标识有效地运行。如果必须切换线程模型，请在进行更改之前，先禁用并卸载该应用程序。

以下是底部代码示例，该示例包含了一个函数，它可以删除发送至该函数的字符串中的可能有害字符。确保在使用这些代码时，指定正确的代码页以确保正确的编码。这些代码可以作为开发过程中的参考，但请务必根据实际情况进行调整和优化。狼蚁网站的SEO优化示例采用了Microsoft的脚本语言进行编写，无论是使用Visual Basic Scripting Edition（VBScript）还是Microsoft JScript，其核心逻辑和代码结构都保持了高度的相似性。这两种脚本语言都是微软开发的，广泛应用于ASP（Active Server Pages）动态网页技术中。

在VBScript版本中，代码首先通过`<%@ LANGUAGE="VBScript" %>`声明了使用的脚本语言为VBScript。接着，通过`Response.CodePage = 1252`设定了响应的字符编码为Windows-1252编码。然后，使用`Response.Write`输出了一段友好的问候信息，并通过调用`RemoveBadCharacters`函数处理用户输入的用户名，移除其中的非法字符。这个函数的实现使用了正则表达式来匹配并替换非法字符。

而在JScript版本中，代码的格式和VBScript版本相似。首先通过`<%@ LANGUAGE="JScript" %>`声明了使用的脚本语言为JScript。然后同样设定了响应的字符编码，输出友好信息，并调用`RemoveBadCharacters`函数处理用户输入。这个函数的实现使用了类似的方法，通过正则表达式来清除字符串中的非法字符。

无论是VBScript还是JScript，这段代码的意图都是为了优化用户体验，特别是在处理用户输入时防止潜在的安全风险。这段代码也展示了ASP动态网页技术中脚本语言的使用，体现了微软在Web开发领域的影响力。

（摘自网海之贝）