程序測試規范(9)

　　SSL

　　很多站點使用 SSL 進行安全傳送。你知道你進入一個 SSL 站點是因為瀏覽器出現了警告消息，而且在地址欄中的 HTTP 變成 HTTPS。如果開發部門使用了SSL，測試人員需要確定是否有相應的替代頁面(適用于3.0 以下版本的瀏覽器，這些瀏覽器不支持SSL。當用戶進入或離開安全站點的時候，請確認有相應的提示信息。是否有連接時間限制?超過限制時間后出現什么情況?

　　登錄

　　有些站點需要用戶進行登錄，以驗證他們的身份。這樣對用戶是方便的，他們不需要每次都輸入個人資料。你需要驗證系統阻止非法的用戶名/口令登錄，而能夠通過有效登錄。用戶登錄是否有次數限制? 是否限制從某些 IP 地址登錄? 如果允許登錄失敗的次數為3，你在第三次登錄的時候輸入正確的用戶名和口令，能通過驗證嗎? 口令選擇有規則限制嗎?

　　日志文件

　　在后臺，要注意驗證服務器日志工作正常。日志是否記所有的事務處理? 是否記錄失敗的注冊企圖? 是否記錄被盜信用卡的使用? 是否在每次事務完成的時候都進行保存? 記錄IP 地址嗎? 記錄用戶名嗎?

　　腳本語言

　　腳本語言是常見的安全隱患。每種語言的細節有所不同。有些腳本允許訪問根目錄。其他只允許訪問郵件服務器，但是經驗豐富的黑客可以將服務器用戶名和口令發送給他們自己。找出站點使用了哪些腳本語言，并研究該語言的缺陷。最好的辦法是訂閱一個討論站點使用的腳本語言安全性的新聞組。

　　結論

　　無論你在測試 internet、intranet 或者是 extranet 應用程序，web 測試相對于非 web 測試來說都是更具挑戰性的工作。用戶對 web 頁面質量有很高的期望。在很多情況下，就像業務功能一樣，頁面用于維護和發展公共關系，所以第一印象非常重要。

　　第三部分 數據庫程序的測試

　　如果要向SQL數據庫中保存時間，時間的年份必須大于等于1753年，如果小于1753年，修改數據庫時會出錯。

　　測試數據庫程序時，除了要測試每個數據庫操作是否正確外，要著重測試數據庫共享問題，即多人同時執行同一功能，這樣就會同時對同一數據表進行操作，測試程序是否正常。

　　測試數據庫程序時，還要測試數據庫操作的速度，如果數據庫操作緩慢，應通知程序員進行優化。

原文轉自：http://www.uml.org.cn/Test/200706154.asp