㈠ web程序員的日常工作是怎樣的
Web前端工程師的職業生涯,我覺得可以分為三步,初級前端開發工程師- > 資深前端工程師- > 前端架構師。每種職責都有其不同的角色和分工。
前端開發工程師(或者說「網頁製作」、「網頁製作工程師」、「前端製作工程師」、「網站重構工程師」),這樣的一個職位的主要職責是與交互設計師、視覺設計師協作,根據設計圖用HTML和CSS完成頁面製作。同時,在此基礎之上,對完成的頁面進行維護和對網站前端性能做相應的優化。
資深前端開發工程師,相比較「前端開發工程師」而言,更加資深一些,當然其工作的職責也會相應的更加大一些。一般而言,資深前端開發工程師需要使用JavaScript或者ActionScript來編寫和封裝具有良好性能的前端交互組件,同時還要對Web項目的前端實現方案提供專業指導和監督並在日常工作之中對新人及相關開發人員進行前端技能的培訓和指導。另外,還要跟蹤研究前端技術,設計並實施全網前端優化。
對於前端架構師,更多意義上說像是一個管理的崗位,但是其職責要求卻不僅只是管理。前端架構師需要帶領組員實現全網的前端框架和優化,還要創建前端的相應標准和規范,並通過孜孜不倦的佈道來完善並推廣和應用自己的標准和框架。同時,還要站在全局的角色為整個網站的信息架構和技術選型提供專業意見和方案。
學無止境,重要的是通過工作實現自我價值。:)
㈡ 作為一個WEB應用開發程序員,在WEB應用開發過程中要注意哪些安全問題
sql注入攻擊,XSS腳本攻擊,URL頁面傳參<例如:window.location.href='index.aspx?id=1'>,緩存的應用<防止讀臟數據,未更新的數據>
解決方法:
SQL注入攻擊:通過對輸入內容的檢測,例如:檢測關鍵字,即查看輸入的內容裡面是不是有Update insert select Delete 等關鍵字!
XSS腳本攻擊:檢測輸入內容輸入內容是否含有< > <script> <p> <a> 等HTML標記!
參數攻擊:直接在URL中更換參數,查看一些自己沒有許可權查看的內容!即所謂的跨許可權查看。
緩存的應用:使用緩存,就應該及時更新緩存,以防止讀舊數據,臟數據等,也可以使用緩存替換技術!等等等吧!好多呢!ca
㈢ 我有一個網頁源代碼。我想通過寫ASP函數的方式把其中部分代碼替換或者刪除
要知道如何防禦,必須知道什麼是sql注入,所以我多引用了一些文字,希望對您有幫助
講解ASP.NET中如何防範SQL注入式攻擊和防禦
一、什麼是SQL注入式攻擊
所謂SQL注入式攻擊,就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字元串,欺騙伺服器執行惡意的SQL命令。在某些表單中,用戶輸入的內容直接用來構造(或者影響)動態SQL命令,或作為存儲過程的輸入參數,這類表單特別容易受到SQL注入式攻擊。常見的SQL注入式攻擊過程類如:
⑴ 某個ASP.NET Web應用有一個登錄頁面,這個登錄頁面控制著用戶是否有權訪問應用,它要求用戶輸入一個名稱和密碼。
⑵ 登錄頁面中輸入的內容將直接用來構造動態的SQL命令,或者直接用作存儲過程的參數。下面是ASP.NET應用構造查詢的一個例子:
System.Text.StringBuilder
query = new System.Text.StringBuilder("SELECT * from Users WHERE login = '").Append(txtLogin.Text).Append("' AND password='")
.Append(txtPassword.Text).Append("'");
⑶ 攻擊者在用戶名字和密碼輸入框中輸入"'或'1'='1"之類的內容。
⑷ 用戶輸入的內容提交給伺服器之後,伺服器運行上面的ASP.NET代碼構造出查詢用戶的SQL命令,但由於攻擊者輸入的內容非常特殊,所以最後得到的SQL命令變成:
SELECT * from Users WHERE
login = '' or '1'='1' AND
password = '' or '1'='1'
⑸ 伺服器執行查詢或存儲過程,將用戶輸入的身份信息和伺服器中保存的身份信息進行對比。
⑹ 由於SQL命令實際上已被注入式攻擊修改,已經不能真正驗證用戶身份,所以系統會錯誤地授權給攻擊者。
如果攻擊者知道應用會將表單中輸入的內容直接用於驗證身份的查詢,他就會嘗試輸入某些特殊的SQL字元串篡改查詢改變其原來的功能,欺騙系統授予訪問許可權。
系統環境不同,攻擊者可能造成的損害也不同,這主要由應用訪問資料庫的安全許可權決定。如果用戶的帳戶具有管理員或其他比較高級的許可權,攻擊者就可能對資料庫的表執行各種他想要做的操作,包括添加、刪除或更新數據,甚至可能直接刪除表。
二、如何防範
好在要防止ASP.NET應用被SQL注入式攻擊闖入並不是一件特別困難的事情,只要在利用表單輸入的內容構造SQL命令之前,把所有輸入內容過濾一番就可以了。過濾輸入內容可以按多種方式進行。
⑴ 對於動態構造SQL查詢的場合,可以使用下面的技術:
第一:替換單引號,即把所有單獨出現的單引號改成兩個單引號,防止攻擊者修改SQL命令的含義。再來看前面的例子,「SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'」顯然會得到與「SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'」不同的結果。
第二:刪除用戶輸入內容中的所有連字元,防止攻擊者構造出類如「SELECT * from Users WHERE login = 'mas' -- AND password =''」之類的查詢,因為這類查詢的後半部分已經被注釋掉,不再有效,攻擊者只要知道一個合法的用戶登錄名稱,根本不需要知道用戶的密碼就可以順利獲得訪問許可權。
第三:對於用來執行查詢的資料庫帳戶,限制其許可權。用不同的用戶帳戶執行查詢、插入、更新、刪除操作。由於隔離了不同帳戶可執行的操作,因而也就防止了原本用於執行SELECT命令的地方卻被用於執行INSERT、UPDATE或DELETE命令。
⑵ 用存儲過程來執行所有的查詢。SQL參數的傳遞方式將防止攻擊者利用單引號和連字元實施攻擊。此外,它還使得資料庫許可權可以限制到只允許特定的存儲過程執行,所有的用戶輸入必須遵從被調用的存儲過程的安全上下文,這樣就很難再發生注入式攻擊了。
⑶ 限製表單或查詢字元串輸入的長度。如果用戶的登錄名字最多隻有10個字元,那麼不要認可表單中輸入的10個以上的字元,這將大大增加攻擊者在SQL命令中插入有害代碼的難度。
⑷ 檢查用戶輸入的合法性,確信輸入的內容只包含合法的數據。數據檢查應當在客戶端和伺服器端都執行——之所以要執行伺服器端驗證,是為了彌補客戶端驗證機制脆弱的安全性。
在客戶端,攻擊者完全有可能獲得網頁的源代碼,修改驗證合法性的腳本(或者直接刪除腳本),然後將非法內容通過修改後的表單提交給伺服器。因此,要保證驗證操作確實已經執行,唯一的辦法就是在伺服器端也執行驗證。
你可以使用許多內建的驗證對象,例如RegularExpressionValidator,它們能夠自動生成驗證用的客戶端腳本,當然你也可以插入伺服器端的方法調用。如果找不到現成的驗證對象,你可以通過CustomValidator自己創建一個。
⑸ 將用戶登錄名稱、密碼等數據加密保存。加密用戶輸入的數據,然後再將它與資料庫中保存的數據比較,這相當於對用戶輸入的數據進行了「消毒」處理,用戶輸入的數據不再對資料庫有任何特殊的意義,從而也就防止了攻擊者注入SQL命令。System.Web.Security.FormsAuthentication類有一個,非常適合於對輸入數據進行消毒處理。
⑹ 檢查提取數據的查詢所返回的記錄數量。如果程序只要求返回一個記錄,但實際返回的記錄卻超過一行,那就當作出錯處理。
SQL注入:利用現有應用程序,將(惡意)的SQL命令注入到後台資料庫引擎執行的能力,這是SQL注入的標准釋義。
隨著B/S模式被廣泛的應用,用這種模式編寫應用程序的程序員也越來越多,但由於開發人員的水平和經驗參差不齊,相當一部分的開發人員在編寫代碼的時候,沒有對用戶的輸入數據或者是頁面中所攜帶的信息(如Cookie)進行必要的合法性判斷,導致了攻擊者可以提交一段資料庫查詢代碼,根據程序返回的結果,獲得一些他想得到的數據。SQL注入利用的是正常的HTTP服務埠,表面上看來和正常的web訪問沒有區別,隱蔽性極強,不易被發現。
SQL注入過程SQL注入攻擊過程分為五個步驟:
第一步:判斷Web環境是否可以SQL注入。如果URL僅是對網頁的訪問,不存在SQL注入問題,如:就是普通的網頁訪問。只有對資料庫進行動態查詢的業務才可能存在SQL注入,如:=39,其中?id=39表示資料庫查詢變數,這種語句會在資料庫中執行,因此可能會給資料庫帶來威脅。
第二步:尋找SQL注入點。完成上一步的片斷後,就要尋找可利用的注入漏洞,通過輸入一些特殊語句,可以根據瀏覽器返回信息,判斷資料庫類型,從而構建資料庫查詢語句找到注入點。
第三步:猜解用戶名和密碼。資料庫中存放的表名、欄位名都是有規律可言的。通過構建特殊資料庫語句在資料庫中依次查找表名、欄位名、用戶名和密碼的長度,以及內容。這個猜測過程可以通過網上大量注入工具快速實現,並藉助破解網站輕易破譯用戶密碼。
第四步:尋找WEB管理後台入口。通常WEB後台管理的界面不面向普通用戶
開放,要尋找到後台的登陸路徑,可以利用掃描工具快速搜索到可能的登陸地址,依次進行嘗試,就可以試出管理台的入口地址。
第五步:入侵和破壞。成功登陸後台管理後,接下來就可以任意進行破壞行為,如篡改網頁、上傳木馬、修改、泄漏用戶信息等,並進一步入侵資料庫伺服器。
SQL注入攻擊的特點:
變種極多,有經驗的攻擊者會手動調整攻擊參數,致使攻擊數據的變種是不可枚舉的,這導致傳統的特徵匹配檢測方法僅能識別相當少的攻擊,難以防範。
攻擊過程簡單,目前互聯網上流行眾多的SQL注入攻擊工具,攻擊者藉助這些工具可很快對目標WEB系統實施攻擊和破壞。
危害大,由於WEB編程語言自身的缺陷以及具有安全編程能力的開發人員少之又少,大多數WEB業務系統均具有被SQL注入攻擊的可能。而攻擊者一旦攻擊成功,可以對控制整個WEB業務系統,對數據做任意的修改,破壞力達到及至。
SQL注入的危害和現狀
SQL注入的主要危害包括:
未經授權狀況下操作資料庫中的數據
惡意篡改網頁內容私自添加系統帳號或者是資料庫使用者帳號網頁掛木馬
據賽門鐵克2006年3月的互聯網安全威脅報告(第九期)顯示:
目前有近70%的攻擊行為是基於WEB應用,而據CVE的2006年度統計數據顯示,SQL注入攻擊漏洞呈逐年上升的狀態,2006年更是達到了驚人的1078個,而這些還僅限於通用應用程序的漏洞,不包括更為龐大的專業web應用程序所存在的漏洞。
而針對SQL注入漏洞的各種攻擊工具和攻擊教程更是層出不窮,掌握1~2種攻擊工具的script guy(腳本小子)就可以輕易的攻破網路資料庫的防線:篡改數據、獲得許可權……
㈣ 淮南能找到java web程序員的工作嗎
上智聯招聘,51job,中華英才,獵聘 等招聘網站應該有信息,可以選地區的,你去看看
㈤ WEB程序員是干什麼的上班時的工作具體是做什麼的要會哪些東西有前途嗎誰能幫我說得詳細點!!
web 簡單來說就是網站什麼的了,web程序員就是做網站開發的.
具體學什麼就要看分工不同的,開發語言有很多種類,目前比較主流的 php,asp,jsp,.net,ruby,cgi(python,c....) 以上說的是後台語言, 前台相關的還有一些東西 ,比如(x)html,xml,css,javascript這些.
根據分工不同,還會有 程序開發人員,網頁設計人員,項目設計人員,平面設計人員等等...
當你的後台設計語言學到一定水平的時候,就會接觸到一些高級技術,比如ajax,框架,web2.0,w3c等等.
你如果想學的話,上面任何一種東西學精通了都很厲害,不在於學的多,在於精....
㈥ 程序員找工作怎麼找
求職是社會新人的第一課,掌握一些求職技巧,可以幫你們更快地找到心儀的工作。
投遞簡歷時應該注意的幾個事項:
1、不要盲目海投,在投簡歷前了解清楚公司和職位信息,對症下葯
如果你只是瞄了一眼職位薪資就匆忙投出簡歷,很容易出現「復制粘貼」的既視感,沒有針對性的表述,千篇一律。這就跟你過年時收到的群發簡訊一樣,是不是海投的簡歷,hr也是能感覺得出來的。
2、郵件用Hi開頭會比「尊敬的領導」要好
3、郵件一定要命名,標題最好清楚地寫上:求聘的職位+姓名+聯系電話,讓人一目瞭然。
面試時應該注意的幾個事項:
1、建議早到15分鍾
准時是基本的,但最好能提前到。如果因交通擁堵等不可控原因可能遲到,一定要提前跟hr打招呼。不要擔心太早到會尷尬,沒有人會因為你早到而對你反感。很多時候,早到很可能是個機會。你可以提早跟面試官打招呼、暖個場,有更多的交流機會,甚至可能有機會參觀一下工作環境。
2、穿著得體干凈即可,無需穿西裝
因為是面試技術崗位,不同於銷售/公關,面試者無需穿太過正式的西裝,最重要的是大方得體、干凈整潔。打扮不要太浮誇,跟平時穿著不要有太大差別,以免造成今後的落差感。
3、交談時應主動、自信、誠懇,不要刻意討好
求職是個雙方選擇的過程,沒必要卑躬屈膝。自我介紹時千萬不要像小學生一樣背課文,你不妨在家對著鏡子提前練習一下,感覺一下自己表達地是否流暢舒服。建議從最重要、最有亮點的部分開始講,並留意觀察面試官的表情,如果對方明顯不感興趣,那不妨切換內容或者停下來讓面試官發問。另外,不要停留在「你問我答」單向環節,你也要適時主動地發問,這表明你足夠重視這份工作。
最後祝大家都能如願以償,找到一份自己喜歡的工作!
㈦ 一個WEB前端,有找bug的天賦是啥感覺
會有一種想要返工寫成較大塊集群的沖動和誘惑。醜陋的邏輯語句,還有冗長的語法,導致代碼非常難以閱讀!但話又說回來,如果代碼沒有壞掉的話,那就不要去修復它。這種洶涌澎拜的斗爭是我經常要面對的,而且顯然會困擾許多軟體開發人員。