如何改進您的Web應用程序

Question

我想要做得更好，並且我想聽取您有哪些好處有所作爲，並將其添加到Web應用程序時最糟糕。

我做了很多ASP.NET應用程序，特別是在CRM應用程序中運行。像用戶完全beeing的東西，我們'忘記'，直到我們收到一封電子郵件:)

這個問題是商業和免費的Web應用程序。以下所有想法，我將自由分享我的源代碼。

目前我只是有一些想法和實施的其他人，如：

• 如果添加&調試= Y到查詢字符串我將展示一個名爲

所有查詢和程序調試窗口

alt text http://www.balexandre.com/temp/WebApp_DebugInfo.png

• 使用的Global.asax我展示一個更好的錯誤信息給用戶，而不是原來的ASP.NET錯誤的Wi ndow（這是一個開發版，用戶版不具有堆棧跟蹤信息）

alt text http://www.balexandre.com/temp/WebApp_errorMsg.png

• 我已經創建，使用jQuery和Web服務，一個簡單的鏈接，將顯示當前版本的Web應用程序，如果是最新的。

• 昨天我從Scotts博客瞭解ELMAH，我會盡量以收到一封電子郵件到一個特殊的地址，以改善和解決可能發生的任何錯誤設置此...

你們有什麼建議？什麼可以考慮作爲部署Web應用程序的'標準'...

Answer 1

我喜歡你所做的一切，除了通過querystring參數顯示所有查詢信息。我建議該功能只能在開發者的調試模式下使用。服務器或其他性質的東西。否則它可能會帶來很大的安全風險。

我也看到在該查詢您發佈（從底線第三）結束在

where <some field> = 582 

它是使用參數化查詢，而不是字符串連接一個好主意。它讓你打開一堆討厭的問題，比如性能下降和sql注入攻擊。如果你使用參數化查詢，那就會消失。

希望我給你的「標準」增加了一些價值。

祝你好運。

Answer 2

「如果你添加&調試= Y到查詢字符串我會告訴所有的查詢和程序調試窗口稱爲」

現在，通常我是一個批評安全默默無聞，但這是一個非常糟糕的主意。沒有理由像這樣完全暴露你的實現。如果您在生產服務器上啓用了此調試選項，則最多您應該登錄到內部文件。

同樣適用於您的「有用」追蹤錯誤消息。此信息受限制是有原因的。

即使版本鏈接也可被視爲漏洞。見例如this Wordpress artice建議您不要發佈您正在使用的Wordpress版本，因爲過去存在大量漏洞以及人員升級速度非常慢。