一个完美网站的101项指标 第五部分.安全性
作者:35公里 来源:Comsharp.com 发布时间:2008-02-29 22:27:00
阅读上一篇:一个完美网站的101项指标.第四部分.设计
网站的安全非常重要,如果您的网站中存在需要授权才能访问的内容,保护好这些内容是您的责任,使用安全的数据库技术,对关键数据进行加密,过滤用户上传的数据是保证网站安全的重要途径。网站安全性遵从以下规则:
使用安全的数据库技术
目前主流的数据库技术包括 MS SQL Server, Oracle, IBM DB2, MySQL, PostgreSQL,其中 MySQL 和 PostgreSQL 属于开源数据库,其它三种数据库根据不同许可方式有不同的价格。考虑到安全,它们都是非常安全的数据库技术,需要注意的是,我们并不建议采用 Access,首先 Access 是一种桌面数据库,并不适合可能面临海量访问的企业网站,其次,Access 是一种非常不安全的网站数据库,如果您的 Access 数据库文件的路径被获取,人们很容易将这个数据库文件下载下来并看到数据库内的一切内容,包括需要授权才能看到的内容。如果您选择 Access 的原因是因为它免费,您需要知道 MSDE 也是免费的。
用户密码或其它机密数据必须用成熟加密技术加密后再存放到数据库
使用明文在数据库中存储用户密码,信用卡号等数据是非常危险的,即使您使用的是非常安全的数据库技术,仍然要非常谨慎,任何机密数据都应该加密存储,这样即使您的数据库被攻破,那些重要的机密数据仍然是安全的。
密码或其它机密数据必须用成熟加密技术加密后才能通过表单传递
如果您的网站没有使用 HTTPS 加密技术,那您的网站服务器和访问客户之间的所有数据都是以明文传输的,这些数据很容易在交换机和路由器节点的位置被截获,如果您无法部署 HTTPS,将所有机密数据加密后再通过网络传播是非常有效的办法
密码或其它机密数据必须用成熟加密技术加密后才能写入 Cookie
很多网站将用户帐户信息写到 Cookie 中,以便用户下次访问时可以直接登陆。如果用户帐户信息未经加密直接写到 Cookie 中,这些数据很容易通过查看 Cookie 文件获得,尤其当您的用户是和别人共用电脑的时候。
对于访问者提交的任何数据,都要进行恶意代码检查
虽然我们要信任用户,但在网络中,我们必须假设所有用户都是危险的,如果您不对他们提交的数据进行检查,就可能出现 SQL Injection, Cross-site scripting 等安全问题。
网站必须有安全备份和恢复机制
任何网站都可能发生硬件或软件灾难,导致您的网站丢失数据,您必须根据您网站的规模和更新周期,定期对网站进行安全备份,在灾难性事故发生以 后,您的备份恢复机制需要在很短的时间内将整个网站恢复。需要注意的是,您一定要对您的备份恢复机制进行测试,保证您的备份数据是正确的。
网站的错误信息必须经过处理后再输出
错误消息常常包含非常可怕的技术细节,帮助黑客攻破您的网站,您应当对网站底层程序的错误消息进行处理,防止那些调试信息,技术细节暴露给普通访问者。
猜你喜欢
- 下面就是几个建议,希望广大站长朋友们在购买网站时用得上。1、时刻记住你要购买的网站必须是只需要你极少后续维护工作的网站。这是构筑你“网上实业
- 喜欢非主流的我们,容易伤感,更喜欢用一些伤感图作为QQ签名图。不过,你知道如何制作这种伤感图片么?其实没那么难,不用PS,因为时下有很多操作
- 许多web浏览器都比IE更易于使用,并且不会那么容易就受到黑客和其它威胁的攻击。 大家似乎很难想起来还有许多可以替代IE的web
- 一、什么是WWW服务现在在Internet上最热门的服务之一就是环球信息网WWW(World Wide Web)服务,Web已经成为很多人在
- SEO诈骗陷阱⑴、投机取巧型:这类最多,这类人本身对网页及SEO有一定了解,然后就有意或无意地利用SEO行骗。这类诈骗行为有的承诺排名,报价
- 如何放置Robots.txt文件robots.txt自身是一个文本文件。它必须位于域名的根目录中并 被命名为“robot
- 晚上写的,思维有点乱,没怎么整理。大家仔细看看,别拍砖啊。说到SNS,想必在CHINAZ的网友应该都比我了解的多、懂的多。我才接触1个多月S
- 据国外媒体报道,激进主义投资者卡尔·伊坎(CarlIcahn)周五宣布,他已经从雅虎董事会辞职。伊坎在一份声明中称:“雅虎此时已经不再需要一
- 既然是我们的防范是从入侵者角度来进行考虑,那么我们就首先需要知道入侵者的入侵方式。目前较为流行web入侵方式都是通过寻找程序的漏洞先得到网站
- 具备内置 Web 与虚拟化技术的 Microsoft Windows Server 2008 使企业能够大幅提升其服务器基础架构的可靠性与灵
- 引言:ResellerClub是域名注册行业的领头军,创建于1998年,是通过ICANN和CNNIC认证的域名注册商。ResellerClu
- 编者按:图形网络游戏鼻祖《万王之王》过去十年走过的历程,是中国网游发展史上的一面镜子。通过回顾它,我们能更清晰地还原过去所遇挫折与辉煌的本源
- Windows 2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开
- 随着中国互联网的快速发展,网民数量的急剧增加,网购人群的增长,网购市场已逐渐行成气候,电子商务的优势也越来越明显,连很多名人所经营的商品都放
- (6月18号注: 昨天很多读者大概没看到这篇帖子,而且整天忙着处理不可抗力造成的问题很累,今天就不更新了。)经常看到有人在论坛里问URL的绝
- 前段时间自己的一个网站进沙盒了,心里很是着急,现在这个网站终于走出google的沙盒了,现在和大家分享下 ,其实对待网站进沙盒如何让网站尽快
- 十月开始新建了一个英文的网站,网站系统基于MovableType,模板自制。在做好基于页面的优化工作之后,逐步的开始内容建设和推广。主要观察
- 动易net的版本发布到现在也差不多有一年的时间了,但是给我的感觉还是很不成熟,不明白这么大的一个动易公司,哪么多的员工怎么会出现这么慢的进度
- 今天看到一篇文章,深有感触。做seo的时间不长,经验就比较少。希望这篇文章能帮新手解决一点小难题!很多人都在自己的SEO经验文章里提到“伪原
- PHPWind v7.3.2收藏夹分页链接错误问题解决方法:打开mode/o/m_article.php查找:$pages =&n