一個(gè)網(wǎng)站要想更安全許多事情就可以在開(kāi)發(fā)的過(guò)程中解決！以ASP.NET舉例為說(shuō)！ASP.NET是一個(gè)編譯型的網(wǎng)站，但是如果沒(méi)有做好嚴(yán)格的文件名過(guò)濾，和數(shù)據(jù)庫(kù)的操作封裝！還是有很大的安全影響一下是一個(gè)企業(yè)網(wǎng)站的制作過(guò)程中的安全工作例子！一個(gè)企業(yè)網(wǎng)站具備的功能明白說(shuō)就是一個(gè)新聞管理系統(tǒng)！所需要做的安全工作也十分簡(jiǎn)單！防注入方面：第一：替換單引號(hào)，即把所有單獨(dú)出現(xiàn)的單引號(hào)改成兩個(gè)單引號(hào)，防止攻擊者 修改SQL命令的含義。

再來(lái)看前面的例子，“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”顯然會(huì)得到與“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的結(jié)果。

第二：刪除用戶輸入內(nèi)容中的所有連字符，防止攻擊者構(gòu)造出類如“SELECT * from Users WHERE login = 'mas' -- AND password =''”之類的查詢，因?yàn)檫@類查詢的后半部分已經(jīng)被注釋掉，不再有效，攻擊者只要知道一個(gè)合法的用戶登錄名稱，根本不需要知道用戶的密碼就可以順利獲得訪 問(wèn)權(quán)限。

第三：對(duì)于用來(lái)執(zhí)行查詢的數(shù)據(jù)庫(kù)帳戶，限制其權(quán)限。

用不同的用戶帳戶執(zhí)行查詢、插入、更新、刪除操作。

由于隔離了不同帳戶可執(zhí)行的操作，因而也就防止了原本用于執(zhí)行SELECT命令的地方卻被用于執(zhí)行INSERT、UPDATE或DELETE命令。

以上是我是我收集的一些看法！我的看法是下面兩條！第四：個(gè)人覺(jué)得所有最數(shù)據(jù)進(jìn)行操作的事件或者語(yǔ)句最好用存儲(chǔ)過(guò)程來(lái)寫(xiě)入，這可以有效的避免MySql數(shù)據(jù)的顯錯(cuò)暴庫(kù)！而且對(duì)此還需要做一個(gè)頁(yè)面當(dāng)黑客注入觸發(fā)防注入的時(shí)候跳轉(zhuǎn)到該頁(yè)并提示非法操作！第五：對(duì)Url后面的ID參數(shù)之后的內(nèi)容進(jìn)行URL編碼，這樣可以達(dá)到加密效果！雖然可以轉(zhuǎn)換過(guò)來(lái)，但是考慮到一般人不會(huì)這么做！對(duì)于文件名過(guò)濾方面：第一：通過(guò)查看源碼發(fā)現(xiàn)，現(xiàn)在還是有很多程序員在做過(guò)濾的時(shí)候都是用的Javascript做本地驗(yàn)證和過(guò)濾！這樣做，個(gè)人覺(jué)得十分不好。

過(guò)濾的代 碼可以給被攻擊者看到，畢竟人有疏忽時(shí)！這樣做有一定風(fēng)險(xiǎn)！個(gè)人看法覺(jué)得還是直接通過(guò)C#來(lái)寫(xiě)源碼過(guò)濾比較好！雖然麻煩點(diǎn)，但是勝在源碼不會(huì)被看見(jiàn)！第二：對(duì)于上傳文件名的過(guò)濾，大部分企業(yè)網(wǎng)站開(kāi)發(fā)人員為了方便就直接使用編輯器的上傳功能！這擁有十分大的風(fēng)險(xiǎn)！雖然我自學(xué)WEB安全也一年多，但是還是知道一個(gè)網(wǎng)站最容易被拿下的也是編輯器！所以還是自己做一個(gè)上傳功能比較好！對(duì)于上傳的過(guò)濾也十分重要！很多開(kāi)發(fā)者在對(duì)這個(gè)進(jìn)行過(guò)濾是可能都會(huì)去判斷最后一個(gè).后面的文件后綴是否非法，這么做也不是不可以，但是這么做還有在做調(diào)節(jié)，當(dāng)后面后綴正確時(shí)，則修改文件名以時(shí)間為標(biāo)準(zhǔn)！后臺(tái)方面：第一：在做管理員登陸的時(shí)候，記錄用戶數(shù)據(jù)建議用Session而不用Cookie，因?yàn)镃ookie很不安全！第二：在做后臺(tái)的時(shí)候，編輯器是始終要考慮的問(wèn)題，最好刪掉一些上傳和管理頁(yè)面，只留下編輯器！還有小心FCK編輯器的配置文件，這個(gè)地方刪除了 TEST 頁(yè)面最好也對(duì)配置文件名字進(jìn)行更改！不過(guò)挺麻煩更改了之后，里面的一些文件內(nèi)容也要改一下，還有一個(gè)方法就是對(duì)配置文件的目錄做可讀不可寫(xiě)權(quán)限！第三：數(shù)據(jù)庫(kù)備份這個(gè)功能最好不要加，加也可以，但是要強(qiáng)制備份成.mdb或.mdf！最好就是備份成功路徑也不要顯示！第四：要給數(shù)據(jù)庫(kù)做好嚴(yán)格的放防下載，防止下載敏感資料！服務(wù)器方面：第一：禁用Wscipit.shell組建！第二：對(duì)于網(wǎng)站路徑做好嚴(yán)格的權(quán)限設(shè)置，特別是編輯器路勁，最好可讀不可寫(xiě)！第三：MySql，MsSql不要用默認(rèn)的賬號(hào)密碼！第四：對(duì)C盤(pán)做權(quán)限設(shè)置，特別是臨時(shí)文件夾，回收站路徑，windows路徑，程序路徑！第五：殺毒軟件實(shí)時(shí)更新，APR防火墻！第六：如果條件可以弄一臺(tái)服務(wù)器做數(shù)據(jù)庫(kù)服務(wù)器，如果不行對(duì)數(shù)據(jù)庫(kù)路徑做好權(quán)限設(shè)置不可讀不可寫(xiě)！第七：server—u這些上傳工具最好不要用，或者用別的功能相等的工具！第八：修改3389鍵值的端口！第九：做好路由防護(hù)，以防止APR嗅探！第十：做好通服務(wù)器網(wǎng)站旁注，聽(tīng)說(shuō)最近360安全專家出了一個(gè)旁注安全檢測(cè)，可以試試！好了，以上想到的就這么多了！當(dāng)然權(quán)限設(shè)置主要是針對(duì)于游客權(quán)限，匿名權(quán)限，以及iis的一些權(quán)限！