(1)系统住提交用户密码时应注意的问

题：为了验证用户的合法身份，需要用户输

入自己的使用密码中山网站制作此时，出于安全性与系

统的可行性的考虑，一般不要使用Query字

段传递参数值，这些特定的情况归纳起来

有两种：一种是传递隐含信息，另一种足传

递大量信息。首先，从某种意义上说，Query

字段是根本无法隐含的。它总是显示这些

Query字段。这就意味着如果用它来传递密

码十分糟糕，任何人如果在旁边路过井瞥

了一眼都是很危险的。其次，如果传递的数

据量比较大，用Query字段也不好办。对于

不同的浏览器，这种信息的传递大小是有

不同的限制的，如果URL链接带的Query字

段超过这个长度，浏览器就无法正确处理。

所以，利用Query字段传递的信息都应当是

简洁的和非保密的，如果有大量的数据需

要传递，那么可以利用HTTP的Form中的

Hidden元素对象来传递数值。另外，数据的

提交，尽量采用POST方法。(2)ASP源程序

的保密性：ASP在网络安全方面的一大优

点就是用户不能看茔-IJASP的源程序，从ASP

的原理上看，ASP在服务端执行并解释成

标准的语句，再传送给客户端洲览器。客户

是看不到HTML源代码的。这样能很好地

维护ASP开发人员的版权，更重要的是保

护了ASP程序中包含的密码、账号和路径

等敏感信息，避免黑客找到攻击系统的入

口。但是目前存在多种查看ASP源程序的

漏洞。解决方法：(1)如果是Winodws NT用

户，安装IIS4．0或者IIS5．0l如果是Win95用

户，安装Win98和PWS4．0。(2)要求web管理

员在建立目Web录时，必须使用虚拟目录，

同时做好文件目录的保密工作；取消Web服

务器的目录浏览权限；严防之类的文件

code．asp存入Web服务器，可通过搜索特征

代码的方法，查找该类文件是否存在。(3)lU

果Webhits提供的功能是系统必需的，请F

载相应的补丁程序。如果没必要，用IIS的管

理工具MMc简单移除．htm的映像文件。(4)

不要安装Frontpage98 Extention server。

(5)在asp程序没有调试完毕前，不要发布到

站点上I对．inc文件加密I将．inc文件的扩展

名改为asp。这样．可以避免文件．inc被窃

取。(6)ASP源程序的加密。ASP脚本是采用

明文方式来编写的，所以ASP脚本发布到

运行环境中去后，很容易泄露出去。可以采

用以下的加密方式对源程序加密。采用微

软提供的screnc．exe，它可以把“<％和％>”

内的内容变换为不可阅读的密文，但这种

方式无法加密中文。也可以将ASP中的关

键功能制作成动态链接库，则可部分隐藏

ASP源代码。此外，要把．asp文件和．html

和．CSS等文件分开放到不同的目录中。存

放．asp文件的目录设置为不可读但是ASP

仍能执行，这样无论如何．asp文件都不能被

窃取。中山网站制作