谈程序的修改技巧.ppt

谈程序的修改技巧 郑海山 修改代码原则 寻找合适的代码记录每个修改通读源代码修改最少耦合度最低 寻找合适的代码 修改代码不如自己重写代码 除非时间 人力方面不允许 修改代码之前必须先读懂对方的源代码 这花的时间可能会比自己写花的时间更多 必须在这两者之间取得平衡 改变自身需求 使需求适应下载的代码 达到直接使用 无需修改 比如你打算找一个实现某些功能的代码 可是找了很多代码 要不只能实现其中的某些功能 要不就是某些功能不完全符合你的要求 这时就必须改变自己最原始的想法 找一个最接近的代码 因为有时候你原先的需求就是错误的 寻找合适的代码 代码必须架构合理 编码规范 这样的代码安全系数才比较高 源代码作者经常更新 源代码公布后 如果有什么安全漏洞 整个系统就暴露在cracker面前 只有源代码作者根据用户的建议不断修复Bug和增加功能 才是可信赖的系统 寻找合适的代码 推荐网站和 是网上最大的开放源代码聚合地 有大量的源代码 分类组织 便于查找 最好的搜索引擎 基本上你可以找到任何东西 如果你使用了正确的关键字 通过搜索技巧 变换关键字 记录每个修改 使用文本文件记录下修改 以便快速恢复因为开始我们只是试用一个系统 或者只是试着加入一些功能 如果加入功能失败 你又不知道加入了那些东西 这时你可以全部删除你刚才的修改 把原始文件重新解压 根据文本文件的记录恢复到某个版本 或者使用cvs系统自动控制 记录下打算增加或者修改的事情 记为todo 完成后放入done区 可以使用文本文件手动维护todolist 记录每个修改 有了这个记录 就可以在下次推出新版本后继续修改 每件事都有记录是一个好的习惯 在源代码里也可加上记录 比如 2003 12 25modifybyHaishion 禁止在下班时间发表 Beginsomething 2003 12 25modifybyHaishion 禁止在下班时间发表 End 通读源代码 通读代码包括通读目录下的所有文件 特别是Readme Manual help guide doc faq这种开头的文档 很多简单的安装出错其实在手册里面都已经告诉你了 修改别人的程序时一定要通读代码 这样才可以保证修改了不加入新的Bug 并且可以充分利用原先的代码 有时为了增加一个新功能 你可以写了一个下午的代码 过几天后发现源代码里面其实有这个功能函数 只需调用某个函数即可 这就是没有通读源代码的结果 通读源代码 用文本文件记录下代码的函数功能 一些值得注意的地方 一定必须确保你知道这个软件在干什么 管理员有几个入口 有几个内置帐号需要关闭等等 修改最少 定位修改位置 可以使用Editplus的目录全文检索功能 根据用户界面的文字做关键字 Web的用户界面文字可能不准确 可以查看web源代码或者缩小文字单位 如果一个功能有多个修改方法 使用修改最少的那种 虽然这种可能破坏了代码的架构 耦合度最低 增加进去的代码应该尽量跟原程序比较分离 总的原则是 源代码就像刺猬 能不碰就不碰 把增加的代码包装成一个过程或者函数 在正确的地方调用一下即可 这样是为了代码的美观 耦合度最低 给函数增加功能的方法 比如一个函数voidfoo inti strings 在多处有调用 你要给foo加入一个新的功能在你自己的代码内调用 你可以 写一个voidfoo new inti strings booleanb 把foo这个函数体拷贝到foo new 在foo new里添加代码 这样的坏处是你如果更新foo 你必须同时更新foo new 有相同的代码散布在系统各处是编程大忌 写一个voidfoo new inti strings booleanb 把foo改为调用foo new i s DEFAULTVALUE 不写foo new函数 使用全程变量 blnHackIt 初始值为DEFAULTVALUE 在新调用的地方把blnHackIt设置定某个值 在foo里面加入ifblnHackIt SOMEVALUEthendosomething endif选择后面2种之一 针对下载的Asp代码的修改 修改数据库文件名例如改为dsfs354sfubzdpIUHndsgs mdb 使用拷贝粘贴放入数据库连接字符串 根据zhiwei的建议 在IIS里给 mdb影射一个字节为0的假 dll文件 如果是SqlServer 新建一个权限比较低的用户作为该数据库的管理员 如果这个用户被攻破 他也做不了什么 如果可以 使用Windows身份验证而不是Sql身份验证 如果有上载文件管理 注意过滤上载文件某些特定的后缀名 把可上载的目录设置为不能执行脚本权限 针对下载的Asp代码的修改 查看是否有对用户的输入做过滤如是整型就用一个自己包装的函数intGetInt strings 在函数内 如果不是整形 就简单得结束脚本 Response Clear Response End 不要告诉用户哪里出错了 因为在正常使用时不会发生这种情况 如是字符型就用stringFilterInputSql strings 开始可能只过滤 以后发现新的漏洞可以只修改这个函数即可 防止跨站点脚本攻击攻击者可能会得到使用你网站的用户的cookie信息 如果你在cookie保留用户的用户名和密码 针对下载的Asp代码的修改 修改管理员密码 密码必须是强密码 包括大小写 数字 特殊符号 不要用头脑记密码 把密码用一个软件记录起来 不要把系统交给没有安全意识的人去管理 不要给他们开任何有管理权限的帐号 针对下载的Asp代码的修改 一般应保留版权信息 如果为了防止系统被cracker破坏 可以去掉版权信息 更换文字 有时cracker掌握了某个源代码的漏洞后 会通过来查找所有安装了这个源代码的网站并实施攻击 有些软件的版权信息隐藏得很隐蔽 比如9sky的留言簿 放在text类型的mdb