企業(yè)網(wǎng)站的安全性尤其重要,如果您的網(wǎng)站中存在需要授權(quán)才能訪問的內(nèi)容��,保護(hù)好這些內(nèi)容是您的責(zé)任���,使用安全的數(shù)據(jù)庫技術(shù)�,對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行加密��,過濾用戶上傳的數(shù)據(jù)是保證企業(yè)網(wǎng)站安全的重要途徑。
企業(yè)網(wǎng)站的安全性尤其重要��,如果您的網(wǎng)站中存在需要授權(quán)才能訪問的內(nèi)容����,保護(hù)好這些內(nèi)容是您的責(zé)任�����,使用安全的數(shù)據(jù)庫技術(shù)�����,對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行加密,過濾用戶上傳的數(shù)據(jù)是保證企業(yè)網(wǎng)站安全的重要途徑����。
企業(yè)網(wǎng)站建設(shè)相關(guān)文章閱讀:企業(yè)網(wǎng)站建設(shè)之企業(yè)網(wǎng)站設(shè)計(jì)分析
網(wǎng)站安全性遵從以下規(guī)則:
使用安全的數(shù)據(jù)庫技術(shù)
目前主流的數(shù)據(jù)庫技術(shù)包括 MS SQL Server, Oracle, IBM DB2, MySQL, PostgreSQL,其中 MySQL 和 PostgreSQL 屬于開源數(shù)據(jù)庫�,其它三種數(shù)據(jù)庫根據(jù)不同許可方式有不同的價(jià)格?���?紤]到安全,它們都是非常安全的數(shù)據(jù)庫技術(shù)��,需要注意的是�,我們并不建議采用 Access�,首先 Access 是一種桌面數(shù)據(jù)庫,并不適合可能面臨海量訪問的企業(yè)網(wǎng)站��,其次����,Access 是一種非常不安全的網(wǎng)站數(shù)據(jù)庫,如果您的 Access 數(shù)據(jù)庫文件的路徑被獲取���,人們很容易將這個(gè)數(shù)據(jù)庫文件下載下來并看到數(shù)據(jù)庫內(nèi)的一切內(nèi)容��,包括需要授權(quán)才能看到的內(nèi)容�。如果您選擇 Access 的原因是因?yàn)樗赓M(fèi),您需要知道 MSDE 也是免費(fèi)的�。
用戶密碼或其它機(jī)密數(shù)據(jù)必須用成熟加密技術(shù)加密后再存放到數(shù)據(jù)庫
使用明文在數(shù)據(jù)庫中存儲(chǔ)用戶密碼,信用卡號(hào)等數(shù)據(jù)是非常危險(xiǎn)的��,即使您使用的是非常安全的數(shù)據(jù)庫技術(shù)��,仍然要非常謹(jǐn)慎�����,任何機(jī)密數(shù)據(jù)都應(yīng)該加密存儲(chǔ)��,這樣即使您的數(shù)據(jù)庫被攻破��,那些重要的機(jī)密數(shù)據(jù)仍然是安全的�����。
密碼或其它機(jī)密數(shù)據(jù)必須用成熟加密技術(shù)加密后才能通過表單傳遞
如果您的網(wǎng)站沒有使用 HTTPS 加密技術(shù)�,那您的網(wǎng)站服務(wù)器和訪問客戶之間的所有數(shù)據(jù)都是以明文傳輸?shù)?��,這些數(shù)據(jù)很容易在交換機(jī)和路由器節(jié)點(diǎn)的位置被截獲�,如果您無法部署 HTTPS,將所有機(jī)密數(shù)據(jù)加密后再通過網(wǎng)絡(luò)傳播是非常有效的辦法
本文由腳本之家(https://www.jb51.net)整理發(fā)布�!轉(zhuǎn)載請(qǐng)注明出處,謝謝��!
密碼或其它機(jī)密數(shù)據(jù)必須用成熟加密技術(shù)加密后才能寫入 Cookie
很多網(wǎng)站將用戶帳戶信息寫到 Cookie 中�,以便用戶下次訪問時(shí)可以直接登陸。如果用戶帳戶信息未經(jīng)加密直接寫到 Cookie 中�,這些數(shù)據(jù)很容易通過查看 Cookie 文件獲得,尤其當(dāng)您的用戶是和別人共用電腦的時(shí)候�����。
對(duì)于訪問者提交的任何數(shù)據(jù)����,都要進(jìn)行惡意代碼檢查
雖然我們要信任用戶,但在網(wǎng)絡(luò)中�����,我們必須假設(shè)所有用戶都是危險(xiǎn)的�����,如果您不對(duì)他們提交的數(shù)據(jù)進(jìn)行檢查�����,就可能出現(xiàn) SQL Injection, Cross-site scripting等安全問題。
網(wǎng)站必須有安全備份和恢復(fù)機(jī)制
任何網(wǎng)站都可能發(fā)生硬件或軟件災(zāi)難��,導(dǎo)致您的網(wǎng)站丟失數(shù)據(jù)�����,您必須根據(jù)您網(wǎng)站的規(guī)模和更新周期�����,定期對(duì)網(wǎng)站進(jìn)行安全備份�,在災(zāi)難性事故發(fā)生以后,您的備份恢復(fù)機(jī)制需要在很短的時(shí)間內(nèi)將整個(gè)網(wǎng)站恢復(fù)��。需要注意的是�,您一定要對(duì)您的備份恢復(fù)機(jī)制進(jìn)行測(cè)試����,保證您的備份數(shù)據(jù)是正確的。
網(wǎng)站的錯(cuò)誤信息必須經(jīng)過處理后再輸出
錯(cuò)誤消息常常包含非?��?膳碌募夹g(shù)細(xì)節(jié)��,幫助黑客攻破您的網(wǎng)站,您應(yīng)當(dāng)對(duì)網(wǎng)站底層程序的錯(cuò)誤消息進(jìn)行處理����,防止那些調(diào)試信息���,技術(shù)細(xì)節(jié)暴露給普通訪問者��。
