的输入、提交URL请求中的参数部分、从cookie中得到的数据等,当发现存在敏感字符时,采取丢弃处理;应对传递的参数进行格式化处理,例如限制其长度,字符类型等。Р 2、跨站脚本攻击与SQL注入攻击类似,也是利用脚本或页面对数据的过滤不足导致,如果不是必要情况,对用户提交的信息不支持脚本显示,对用户可提交的信息进行严格过滤,将支持脚本的关键字“javascript”等进行过滤,检测到用户提交信息中包含Р“javascript”等关键字,阻止相关信息的提交。Р (四)数据库安全策略Р Web数据库安全策略主要有以下几点: Р 1、所有的数据库系统都具备访问授权的机制,需要进行用户的标识和鉴别后才能访问,数据库系统根据用户的权限给予相应的访问授权。数据库用户的授权应按最小授权原则,避免出现过度的特权滥用和合法的授权滥用。Р 2、在数据库开发设计时,应尽量对不同的用户定义不同的视图,使机密数据不出现在不应看到这些数据的视图上,这样通过视图机制就自动提供了对机密数据的安全保护功能。Р 3、应对数据库中存储的数据进行加密处理,防止数据在存储和传输过程中被窃取。Р 4、应采用磁带备份、双机热备份、手工备份等方式,对数据库进行备份Р 5、目前主流的数据库软件如DB2、Oracal、SQL Server等均存在安全漏洞,应及时安装数据库漏洞补丁,避免因为这些漏洞引起的非法攻击。Р 三、总结Р 本文通过网络安全、操作系统安全、Web应用安全、数据库安全等几个层面对网站安全策略进行了详细分析和介绍,期望能对互联网网站的安全防护提供相应的帮助。Р 作者简介: Р 邢诒俊(1983-),男,海南海口人,硕士,中国人民银行海口中心支行科技处科长。Р 符瑞武(1981-),男,海南海口人,中国人民银行海口中心支行金融稳定处科长。Р 陈彪(1968-),男,海南海口人,中国人民银行海口中心支行科技处科长。