论文对网站和数据库安全在需要的一些指点

Question

我在我的学位论文在我的最后一年在大学的时刻。其中一个领域，我需要研究是安全对这两个网站和数据库。我目前有关章节如下：

• 网站
  • 形式的安全等数据验证。这段是更多关于防止错误作出合法的用户尽可能多而不是停止黑客攻击，例如比较一领域的一个经常的表达并为他们提供有意义的反馈意见上的任何错误发生，以阻止它再次发生。
  • 制约因素。例如，如果一个价值，必须是真实的或虚假的，然后用一个选项。如果它可能是一个值，然后用一下拉或设置的无线电箱，等等。如果价值是不可预测则使用经常表现于限制什么人物，他们被允许进入，以及限制串的长度，有时以限制的格式(例如日期/时间，邮政编码及以上)。
  • 有时候你可以限制的权限形式。这是上次，你知道究竟是谁(无论是人民的名字或一群人，如管理人员或雇员)的需要访问的形式。限制的权限将阻止公众成员能够访问的形式。
  • 符号或串可以恶意使用或使网站采取行动是错误地输入(例如标记脚本)应被过滤掉或html编码。
  • 验证码图像可以用于防止自动化系统填写和提交形式。
  • 还有一些黑客上传文件--例如使用双扩展其能允许黑客上传恶意的文件。
• 数据库(这就是没有完成，但该部分我已经计划列于下面)
  • SQL statements vs存储程序
  • 扔一个错误，当其中一个变量包含有特定字或字符组的(我不记得什么样的人物他们都是,但我见过一个消息扔在我回来之前我在那里有试图进入html或东西，进入一个文本地区)。
  • SQL注和方法在它的周围，有一些例子。

没有任何人有任何提示和技巧在那里我可以去一些体面的、可靠的信息或者有关这些区域或有关其他地区的安全，我可以盖？

在此先感谢。

问候，

理查德

PS我是一个完整的新手的时候到安全，所以请耐心一点。如果任何信息我都忍下来是错误的，或者可能是子切片然后请随时这样说。

Answer 1

让你开始在网站上的安全，我建议你通过以下来源

1. 异10- http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
2. 共同的弱点枚举 http://cwe.mitre.org/

两个列表中的顶级程序错误，会给你一个头开始在这一领域。