|
相信绝大多数的网民都有在网站上注册、登陆的经验,很多人会觉得那很简单,借用我一个做销售的同学的话就是“填好用户名和密码,发到数据库,然后查询数据库,找到的话就能登陆,简单至极啦,没什么技术的” 真那么简单?非也。 以注册资料为例: 考虑到用户使用的浏览器有可能不同,也许是微软的IE,又或者网景的NetScape,不同的浏览器支持的客户端脚本不一样,所以还要考虑到脚本兼容性问题。假如用户稍懂些html知识,还可以绕过客户端的校验,所以,还要在服务端对提交的资料重复一次校验。 用户注册资料都会涉及到数据库,考虑到安全性问题,还要过滤提交资料中对数据库有影响的字符,(例如SQL Server的单引号,分号,注释符号,系统存储过程名等),同时,还要配置数据库端的数据库登陆账号的权限,让其只能执行(最理想状况)数据插入操作,这样可以避免部分的黑客攻击。 当资料通过这些校验到数据库后,也不是简单的插入数据操作,在插入之前还要检查数据库是否已经存在相同的资料,如果数据库非常庞大,数据量达百万级的,还要优化查询的算法…… 另外,在网上提交资料,数据包是完全有可能给一些别有用心的人拦截的,这就涉及到采用协议,或加密的问题。再加上网页的外观设计,交互界面设计等其他元素,一个简单的网页提交其实就是设计师、技术员多年来经验积累的成果,可不是“没什么技术”可言喔。 |