一個網(wǎng)站要想更安全許多事情就可以在開發(fā)的過程中解決！以ASP.NET舉例為說！ASP.NET是一個編譯型的網(wǎng)站，但是如果沒有做好嚴(yán)格的文件名過濾，和數(shù)據(jù)庫的操作封裝！還是有很大的安全影響一下是一個企業(yè)網(wǎng)站的制作過程中的安全工作例子！一個企業(yè)網(wǎng)站具備的功能明白說就是一個新聞管理系統(tǒng)！所需要做的安全工作也十分簡單！防注入方面：第一：替換單引號，即把所有單獨出現(xiàn)的單引號改成兩個單引號，防止攻擊者 修改SQL命令的含義。

再來看前面的例子，“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”顯然會得到與“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的結(jié)果。

第二：刪除用戶輸入內(nèi)容中的所有連字符，防止攻擊者構(gòu)造出類如“SELECT * from Users WHERE login = 'mas' -- AND password =''”之類的查詢，因為這類查詢的后半部分已經(jīng)被注釋掉，不再有效，攻擊者只要知道一個合法的用戶登錄名稱，根本不需要知道用戶的密碼就可以順利獲得訪 問權(quán)限。

第三：對于用來執(zhí)行查詢的數(shù)據(jù)庫帳戶，限制其權(quán)限。

用不同的用戶帳戶執(zhí)行查詢、插入、更新、刪除操作。

由于隔離了不同帳戶可執(zhí)行的操作，因而也就防止了原本用于執(zhí)行SELECT命令的地方卻被用于執(zhí)行INSERT、UPDATE或DELETE命令。

以上是我是我收集的一些看法！我的看法是下面兩條！第四：個人覺得所有最數(shù)據(jù)進(jìn)行操作的事件或者語句最好用存儲過程來寫入，這可以有效的避免MySql數(shù)據(jù)的顯錯暴庫！而且對此還需要做一個頁面當(dāng)黑客注入觸發(fā)防注入的時候跳轉(zhuǎn)到該頁并提示非法操作！第五：對Url后面的ID參數(shù)之后的內(nèi)容進(jìn)行URL編碼，這樣可以達(dá)到加密效果！雖然可以轉(zhuǎn)換過來，但是考慮到一般人不會這么做！對于文件名過濾方面：第一：通過查看源碼發(fā)現(xiàn)，現(xiàn)在還是有很多程序員在做過濾的時候都是用的Javascript做本地驗證和過濾！這樣做，個人覺得十分不好。

過濾的代 碼可以給被攻擊者看到，畢竟人有疏忽時！這樣做有一定風(fēng)險！個人看法覺得還是直接通過C#來寫源碼過濾比較好！雖然麻煩點，但是勝在源碼不會被看見！第二：對于上傳文件名的過濾，大部分企業(yè)網(wǎng)站開發(fā)人員為了方便就直接使用編輯器的上傳功能！這擁有十分大的風(fēng)險！雖然我自學(xué)WEB安全也一年多，但是還是知道一個網(wǎng)站最容易被拿下的也是編輯器！所以還是自己做一個上傳功能比較好！對于上傳的過濾也十分重要！很多開發(fā)者在對這個進(jìn)行過濾是可能都會去判斷最后一個.后面的文件后綴是否非法，這么做也不是不可以，但是這么做還有在做調(diào)節(jié)，當(dāng)后面后綴正確時，則修改文件名以時間為標(biāo)準(zhǔn)！后臺方面：第一：在做管理員登陸的時候，記錄用戶數(shù)據(jù)建議用Session而不用Cookie，因為Cookie很不安全！第二：在做后臺的時候，編輯器是始終要考慮的問題，最好刪掉一些上傳和管理頁面，只留下編輯器！還有小心FCK編輯器的配置文件，這個地方刪除了 TEST 頁面最好也對配置文件名字進(jìn)行更改！不過挺麻煩更改了之后，里面的一些文件內(nèi)容也要改一下，還有一個方法就是對配置文件的目錄做可讀不可寫權(quán)限！第三：數(shù)據(jù)庫備份這個功能最好不要加，加也可以，但是要強(qiáng)制備份成.mdb或.mdf！最好就是備份成功路徑也不要顯示！第四：要給數(shù)據(jù)庫做好嚴(yán)格的放防下載，防止下載敏感資料！服務(wù)器方面：第一：禁用Wscipit.shell組建！第二：對于網(wǎng)站路徑做好嚴(yán)格的權(quán)限設(shè)置，特別是編輯器路勁，最好可讀不可寫！第三：MySql，MsSql不要用默認(rèn)的賬號密碼！第四：對C盤做權(quán)限設(shè)置，特別是臨時文件夾，回收站路徑，windows路徑，程序路徑！第五：殺毒軟件實時更新，APR防火墻！第六：如果條件可以弄一臺服務(wù)器做數(shù)據(jù)庫服務(wù)器，如果不行對數(shù)據(jù)庫路徑做好權(quán)限設(shè)置不可讀不可寫！第七：server—u這些上傳工具最好不要用，或者用別的功能相等的工具！第八：修改3389鍵值的端口！第九：做好路由防護(hù)，以防止APR嗅探！第十：做好通服務(wù)器網(wǎng)站旁注，聽說最近360安全專家出了一個旁注安全檢測，可以試試！好了，以上想到的就這么多了！當(dāng)然權(quán)限設(shè)置主要是針對于游客權(quán)限，匿名權(quán)限，以及iis的一些權(quán)限！