web測試隱藏點（之二）

雖然說開發和測試從某種意義上講是“對立”的關系，但是早在哲學課里我們就已經知道對立統一是結為一體的。所以我一直覺得開發和測試是一種互相補充，而開發人員和測試人員也傳承了這一關系，他們只是站在不同的角度去維護一個產品。于是我比較習慣測試前和測試后都會征求開發人員的意見。比如我會在測試前尋問開發人員他們認為程序中需要著重測試的要點以及測試的注意點，而在測試執行后我又會主動的向他們講述自己實際的測試情況并請他們判斷是否還存在遺漏。
實踐證明這樣的做法非常有意義，就拿最近一次項目組周會時的討論來說，考慮項目已經進行了測試用例的評審，而代碼也已完成了編寫，在接下去的時間里就要著手執行功能測試，我向項目組的所有成員詢問在執行測試階段對于測試人員還有哪些建議和要求，其中一位開發人員非常誠懇的說，他認為一個web網站測試的重點首先應該是安全性，其次是性能，最后才是功能，而他認為安全性測試在我的測試用例中只體現了部分內容，但仍有一些潛在的安全因素沒有在用例中很好的體現。坦白講真有種一語驚醒“夢中人”的感覺，雖然我也知道安全性測試的重要，但是在測試過程中我還是將功能放在第一位，多少還是忽略了安全性的測試，而這方面的知識也相對的匱乏。
會后我又找這位開發人員進行了安全性測試的討論?？偨Y有3點內容在平時的測試中需要注意起來。
1.權限的控制。這一點我相信大多數測試人員都很熟悉，并且會在測試用例中體現出來，但是需要提醒大家的是url作為開放的輸入，我們必須考慮在修改url的前提下會不會導致權限控制出現漏洞。
2.輸入代碼的過濾。這一點相信大家也不陌生。如果程序未對該種情況過濾，那么整個頁面的布局和安全都會受到破壞。
3.SQL注入。這一點至少對于我來說是一個比較新的概念，它通過在url中輸入sql語句來攻擊設計不健全的系統及其數據庫，具體涉及的內容網上有很多介紹的文章，感興趣的同學們都可以去搜索閱讀。
當然除了上述三點，安全性測試涉及的內容還是有很多很多，之前云齊的文章也有提到過一點，現在想想才發現測試就好比挖地雷，我們必須小心的將所有隱藏的“地雷”挖掘出來，才能讓所有人安全！

原文轉自：http://www.kjueaiud.com