关于网站的安全性

    一个网站，安全问题可能从多方面而来。光是任何一方面，都不可能保证绝对的安全。一个安全的网站，必须要各方面配合才能打造出来。

　　首当其冲的是服务器的安全，服务器本身如果被人入侵了，你的网站系统再安全，那也没有任何作用。

　　其次是FTP或者远程管理等的帐号安全，如果人家破解了你的FTP或者远程管理权限，那也就等于窗户开给人家怕，那家里的东西自然是随便拿了。

　　上述的涉及系统管理的问题，这里不多说了，重点说说第三方面：脚本安全。

　　脚本指在你的网站上的ASP，JSP，CGI等服务器端运行的脚本代码。脚本代码的安全问题最主要最集中的问题出在两个方面：SQL注入和FSO权限。

　　互动网站大多有数据库，ASP代码通过SQL语句对数据库进行管理，而SQL语句中的一些变量是通过用户提交的表单获取，如果对表单提交的数据没有做好过滤，攻击者就可以通过构造一些特殊的URL提交给你的系统，或者在表单中提交特别构造的字符串，造成SQL语句没有按预期的目的执行。

　　开发团队在防止SQL注入方面下了很大的工夫，几乎所有通过表单提交的数据，分字符型和数字型，分别用一个专门的函数进行处理。只要是提交的数据包含非法字符，或者被替换为安全字符，或者提交的数据被替换为默认值。为了程序具有较好的容错性，我们并没有对所有含有非法字符串的数据提交都以抱错回应。比如当用户访问ShowSource.asp这个网页，提交ChannelID=%3D这样的数据，系统就会将其修改为ChannelID=0，这是安全的数据，但是不会显示“您所提交的数据非法”这样的提示。因为对于访问者而言，这是没有必要的。

    有时候，即使网站不托管恶意软件，但如果网站的安全性减弱了，你却没有意识到这一点的，攻击者可以在植物中，以窃取您的网站脚本，这样客户的个人信息就可能被窃取。这对于我们以用户体验为灵魂的网站来讲，这无疑是个致命的打击。

    为了网站的安全性着想，作为一个写程序出身的人来讲，不得不给大家几点建议：

（1）选择稳定的服务器或者虚拟主机，这是最起码的。

（2）黑客一般都是做程序出生的，检查网站程序代码，尽量减少网站的漏洞，是很重要的，网站布局使用简单的DIV+CSS布局。

（3）网站后台，对管理员账号和密码尽量设置复杂点，黑客有种手法是“字典攻击”，将加密的结果与加密口令比较。

（4）数据库路径不要使用默认的，我们知道黑客还有种手法，就是进行IP欺骗与窥探。

（5）定期对服务器系统进行更新，保持安全稳定的操作系统。

（6）安全起见，给你的计算机装上防火墙。