网站防黑攻略


发布日期:2015-06-17

 

鉴于前一段时间携程网的事情,我们沈阳网站建设公司就为大家总结出了一些网站的防黑攻略,希望引起大家的警惕。

1、防止数据库下载漏洞
  可以为数据库起个无规律、非常规的名字,比如ghhj@#$%.mdb,把它放在几层目录下(如./seo/seodir/seodate/)。不要在程序中写出数据库名。如在conn.asp中含有DBPath=Server.MapPath("seo/seodir/seodate/ghhj@#$%.mdb")这一句暴露出数据库的名字地址了,一旦黑客拿到conn.asp,网站数据库全部信息将一览无余。
2、注入攻击是黑客常用的攻击手段。
  注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。大家可以baidu搜索关键词:"SQL通用防注入系统3.1β版" 找到防止注入攻击程序,下载装上,免受注入攻击的骚扰。
3、后台管理程序
  不要把后台管理页面放在外页的位置,这样会引起黑客攻击的欲望,黑客可以毫无吹灰之力对网站后台管理发起攻击。管理员的用户名和密码不要太过简单,最好拼音加数字加符号,密码在10以上。后台要做好检测程序,防止防止'or''='or'暴库入侵网站后台。如果网站还是无法防止黑客入侵后台,就只一个方法,把后台目录直接删除,维护时再通过ftp上传后台程序,然后使用,黑客总不会天天关注你网站吧~~
4、没有上传和论坛程序
  网站中不要有任何上传程序和论坛上传程序。不要安装asp的上传程序;如果论坛支持文件上传,你要在程序中设好上传文件的格式,要进行身份认证才能使用,格式只有图象和压缩文件才能上传。(前些天我的一个行业网站就是因为放至论坛的上传程序,被黑客利用,成功提权入侵,所以提醒大家不到万一千万不要有上传功能。)