系统安全问题

蓝色蜻蜓

   奥运临近，客户为保证系统的安全请安全公司对系统进行检测目前发现了一些漏洞，主要包括几个方面，系统在登陆方面没有限制一些关键字造成用户可以录入非法字符实现了sql注入，进行系统攻击；不过还好只有能进入一个步骤，不能进入系统；
第二个方面的问题是：脚本注入的攻击，在一些系统录入框中没有限制脚本关键字的录入，并且在后台也没有进行关键字的检测，造成可能录入脚本形成危害；
第三方方面是系统设置的方面在webserver的设置上不够安全造成用户可用可能会在webserver 上实行trace方法探测与入侵。
针对这些漏洞，对程序与系统设置进行修改；
在脚本注入与sql注入方面修改了系统的filter的中方法增加了关键字的过滤；
在webserver方面修改了apache服务的配置文件；

   原来以为这些安全的问题在系统中应该不会存在，没有想到现在的这种安全问题距离自己其实很近，只是没有考虑过这方面的问题；
在修改了filter的方法中增加了关键字的检测不知道对系统的性能会有多大的影响，如果对系统性能影响很大的话还是要对调用存储过程与执行sql的步骤程序进行调整。

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/18014/showart_728943.html