这个问题是为了学习目的。假设我正在使用 CGI 和 Python 编写一个简单的 SQL 管理控制台。在 http://something.com/admin ,这个管理控制台应该允许我使用普通的 form 修改 SQL 数据库(即创建和修改表,以及创建和修改记录)。
- 在最不安全的情况下,任何人都可以访问 http://something.com/admin并修改数据库。
- 你可以用密码保护http://something.com/admin .但是一旦您开始使用管理控制台,信息仍然以纯文本形式传输。
- 然后您使用 HTTPS 来保护传输的数据。
问题:
- 向学习者描述,您将如何逐步增加安全性到最不安全的环境以使其最安全?您将如何修改/增强我上面的三个(可能是错误的)步骤?
- Python 中的哪些基本工具使您的步骤成为可能?
- 可选:既然我了解了这个过程,那么复杂的库和框架如何从本质上实现这种安全级别?
最佳答案
安全不是修补工作,而是一种整体方法。
逐渐增加安全性不是一个好主意。您应该从头开始将安全性集成到您的应用程序中。
我能给你的最好建议就是试着像攻击者一样思考。想一想:“如果我想做一些我不应该做的事情,我该怎么做?”
如果您正在设计一个使用数据库的应用程序,我们注意不允许 SQL Injections .您还应该了解一些 most popular web vulnerabilities如果您正在制作网络应用。
关于python - 从头开始了解 CGI 和 SQL 安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3048542/