网页脚本攻击防范全攻略

　　近来，网络上的SQL Injection 漏洞利用攻击，JS脚本，HTML脚本攻击似乎逾演逾烈.陆续的很多站点都被此类攻击所困扰，并非像主机漏洞那样可以当即修复，来自于WEB的攻击方式使我们在防范或者是修复上都带来了很大的不便。HOOO…… 一个站长最大的痛苦莫过于此.自己的密码如何如何强壮却始终被攻击者得到，但如何才能做到真正意义上的安全呢？第一，别把密码和你的生活联系起来；第二，Supermaster的PWD最好只有你自己知道；第三，绝对要完善好你的网站程序。然而怎样才能完善，这将是我们此文的最终目的。

　　安全防护，如何做到安全防护？想要防护就要知道对方是如何进行攻击。有很多文章都在写如何攻下某站点，其实其攻击的途径也不过是以下几种：

　　1. 简单的脚本攻击

　　此类攻击应该属于无聊捣乱吧。比如****:alert(); ＜/table＞等等，由于程序上过滤的不严密，使攻击者既得不到什么可用的，但又使的他可以进行捣乱的目的。以目前很多站点的免费服务，或者是自身站点的程序上也是有过滤不严密的问题。

　　2. 危险的脚本攻击

　　这类脚本攻击已经过度到可以窃取管理员或者是其他用户信息的程度上了。比如大家都知道的cookies窃取，利用脚本对客户端进行本地的写操作等等。

　　3. Sql Injection 漏洞攻击

　　可以说，这个攻击方式是从动网论坛和BBSXP开始的。利用SQL特殊字符过滤的不严密，而对数据库进行跨表查询的攻击。比如：

　　http://127.0.0.1/forum/showuser.asp?id=999 and 1=1

　　http://127.0.0.1/forum/showuser.asp?id=999 and 1=2

　　http://127.0.0.1/forum/showuser.asp?id=999 and 0＜＞(select count(*) from admin)

　　http://127.0.0.1/forum/showuser.asp?id=999’; declare @a sysname set @a='xp_'+ 'cmdshell' exec @a 'dir c:'---&aid=9

　　得到了管理员的密码也就意味着已经控制的整站，虽然不一定能得到主机的权限，但也为这一步做了很大的铺垫。类似的SQL Injection攻击的方式方法很多，对不同的文件过滤不严密所采取的查询方式也不同。所以说想做好一个完整的字符过滤程序不下一凡功夫是不可能的。

　　4. 远程注入攻击

　　某站点的所谓的过滤只是在提交表格页上进行简单的JS过滤。对于一般的用户来说，你大可不必防范；对早有预谋的攻击者来说，这样的过滤似乎根本没作用。我们常说的POST攻击就是其中一例。通过远程提交非法的信息以达到攻击目的。

　　通过上面的攻击方法的介绍，我们大致的了解了攻击者的攻击途径，下面我们就开始重点的介绍，如何有效的防范脚本攻击！

　　让我们还是从最简单的开始：

　　l 防范脚本攻击

　　JS脚本 和HTML脚本攻击的防范其实很简单：server.HTMLEncode（Str）完事。当然你还不要大叫，怎么可能？你让我把全站类似＜%=uid%＞都加过滤我还不累死？为了方便的过滤，我们只需要将HTML脚本和JS脚本中的几个关键字符过滤掉就可以了：程序体（1）如下：

　　‘以下是过滤函数

　　＜%

　　function CHK(fqyString)

　　fqyString = replace(fqyString, "＞", "＞")

　　fqyString = replace(fqyString, "＜", "＜")

　　fqyString = replace(fqyString, "&#", "&")

　　fqyString = Replace(fqyString, CHR(32), " ")

　　fqyString = Replace(fqyString, CHR(9), " ")

　　fqyString = Replace(fqyString, CHR(34), """)

　　已有的网站是GB2312编码？看到UTF-8编码的优点有点心动？本文就是教你如何把网站从GB2312转为UTF-8。

　　GB2312是简体中文的编码，所以当文章/网页中包含繁体中文、日文、韩文时，这些内容可能无法被正确编码。

　　有一种比GB2312编码略广的编码，就是GBK，它包含了对繁体中文的编码，但对他国非拉丁字母语言还是有问题。

　　UTF-8编码是一种目前广泛应用于网页的编码，它其实是一种Unicode编码，即致力于把全球所有语言纳入一个统一的编码。目前UTF-8已经把几种重要的亚洲语言纳入，包括简繁中文和日韩文字。采用UTF-8编码的网页某种意义上说就是“与国际接轨”了。此外，很多手机终端都使用UTF-8编码，如果网站考虑开发WAP界面而网站数据本身又是UTF-8编码，就省却了开发WAP界面时的转码问题。

　　已有的网站是GB2312编码？看到UTF-8编码有点心动？本文就是教你如何把网站从GB2312转为UTF-8。

　　在转换前，必须考虑网站是否有必要转码。我提供几点供参考：
　　1、网站面向的对象，是局限一小圈子的人，还是中国大陆，还是包括港澳台在内的整个中国甚至全世界。

　　2、在GB2312编码中一个汉字占2个字节，而在UTF-8中，一个汉字要占3个字节，这种空间增加的代价是否值得。

　　3、在旧有的数据库系统上（例如MySQL 4.0及以前的版本）可能没有内置对UTF-8的支持，虽然本文有办法解决，但不排除还潜在一些小问题。

　　4、网页文件转为UTF-8编码后是否方便编辑。我目前用ZDE4，设置好后对UTF-8编码支持非常好。设置方法是在菜单Tools->Preferences中，点Editing标签，把Encoding改为UTF-8即可。

考虑好决定转码以后，就可以开始了。本文仅以php 4.0～5.0 + MySQL 3.23～4.0为例。

　　首先对准备转码的数据库，为其建立一个新的数据库及相应表结构用于存储转码结果。如果在没有内置支持UTF-8的数据库系统操作，则建议把用于存储中文的CHAR、VARCHAR、TEXT字段分别改为BINARY、VARBINARY、BLOB，虽然我试验过不改也没有问题。

　　接着在操作系统命令行下执行如下命令导出原有的数据库（其中{dbname}用数据库名替换，{path1}用一个已存在的临时路径替换，导出的数据将会存放于此）：
mysqldump --opt --comments=0 -n -t --fields-terminated-by=, --fields-escaped-by= {dbname} -uroot -p --tab={path1}

　　上述命令中的用户root也可换为其它用户，但须保证有dump的权限。用转码工具，例如ConvertZ，把上面{path1}中的全部文件转为UTF-8编码。注意要关闭BOM选项。假设转码后的文件保存在路径{path2}。

　　用有LOAD DATA权限的用户连接MySQL服务器，用use命令选择刚才新建的数据库，然后对每个表{table_name}执行如下命令：
LOAD DATA INFILE '{path2}{table_name}.txt' INTO TABLE {table_name} FIELDS TERMINATED BY ',' ESCAPED BY '';

　　提示：表比较多的时候可以写个小程序生成一个SQL脚本。

　　执行上述命令时可能会出现警告（Warnings），请留意Warning的这些行（Row），可能有些数据并没有转换成功，例如字段错位。

　　根据经验，此种情况多数是由数据结尾的字节的16进制码大于7F所致。通常这些行数量是比较少的，可以手工修正这些行。

　　至此数据库的转码就完成了。清理原数据库和转码过程的临时文件这里就不详述了。

　　对网页转码：同样用转码工具把网站所有网页转为UTF-8编码。

　　然后打开包含头部的网页文件/网页模版文件，把这样的行：

　　替换为这样：

　　据我的经验，如果网页采用css样式表控制网页样式，如果在css的body标签中设置了字体，那么在原来的gb2312编码下，该字体设置可以继承到intput和textarea中，但转为utf-8后，需要在input和textarea标签中重新设置字体。