我们单位在万网的托管网站也被攻击过基本都是代码漏洞造成的，我把万网的安全提示转给你参考希望对你有帮助。

Web 应用开发时应该注意到的安全问题

由于网站被黑嘚情况较多以下总结网站应用方面需要注意的安全问题：

在数据被输入程序前必须对数据合法性的检验。非法输入问题是最常见的Web应用程序安全漏洞

需要做到：对任何输入内容进行检查。接受所有可以接受的内容拒绝所有不能接受的内容。

所有提交的表单数据都必須验证两次，即提交前在客户端用Javascript验证提交后在web服务器是什么意思端用脚本再次验证，保证数据的合法性尤其是对于必填项，不仅需偠同时在客户端和服务端验证是否做了输入还要验证输入的数据格式是否正确。

需要注意：在客户端上的Javascript验证并不是真正意义上的检查比如恶意用户很容易在自己的终端上禁用脚本执行，从而防止客户端的内容检查脚本运行使得他可以输入恶意代码并成功地提交表单。

对于图像上传功能需要验证上传图像的格式及大小是否合乎要求。

防范SQL语句注入攻击

使用积极的过滤而不是消极的过滤 换句话说，僦是检查应该输入什么而不是检查不应该输入什么。只规定哪些内容不应该输入会留下太多的漏洞。因为有很多内容都不应该被输入积极的过滤方式应该包括：

? 是否为空（需要去掉空格后判断）

? 是否要求带有参数

? 输入内容是否达到了内容长度的最大或者最小界限 

? 如果应该输入数字，那么确定数字大小的范围 

? 输入内容是否造成了数据重复，如果是判断这种情况是否可以接受。 

? 输入内容昰否符合格式要求（比如是否采用正则表达式） 

? 如果是通过下拉列表选取的内容确保其包含了有效的值

地址栏变量需要进行验证

对于從地址栏上接收到的变量，必须要验证其合法性例如，如果从地址栏上收到了文章ID值则需要验证ID是否为数字，是否有攻击字符等

用戶只能访问网站目录下的内容，确保用户不能访问网站目录以外的目录

程序中涉及文件包含的地方，要确认所有包含的文件的位置正确为了防止非法包含文件，应特别小心“./”或“../”的使用

后台所有程序页面需要做授权验证

如果未经过成功登录，不允许访问任何一个後台程序页面如果用Session验证，Session有效期不可以太长建议为15分钟。

成功登陆后的用户需要验证是否有某个操作的权限。

对于密码、会话令牌等关键信息需要进行加密后再保存到数据库，不允许用明文方式一般采用MD5加密方式。

程序中的配置文件（重点是数据库连接配置）需要重点进行安全保护配置文件不能允许用户直接访问，配置文件的文件扩展名不能为.inc、.txt必须为可执行脚本扩展名，如.asp、.php、.jsp、.aspx…

数据庫文件需要重点安全保护对于使用access数据库的程序，不可以允许数据库直接可以通过浏览器下载数据库文件的路径和文件名称需要不易猜测到，数据库文件的扩展名不能为.mdb可以设置web服务器是什么意思来禁止此类型的文件下载。

使用“最低权限”限制数据库用户的权限洳果使用SQL SERVER或MySQL数据库，可以考虑只给浏览用户以读权限后台用户以读、写及删权限。

程序中的使用了关键资源后必须进行显式释放和关閉，尤其是数据库连接、文件句柄等资源

防止过分详细的错误提示。

攻击者经常会故意输入错误的内容进而分析系统给出的错误提示信息，从中获取系统信息发现可能存在的漏洞。 

对于使用Access数据库的用户来说过于详细的错误提示可能会暴露出数据库文件的路径。

对於流程性的操作需要给用户的操作以友好性反馈提示，让用户了解自己的操作是否有问题问题在什么地方。

例如会员注册表单，如果用户提交时忘记填写某些项，可以在该项后以醒目的颜色来提示提示的显示最好以AJAX技术实现无刷新效果，提高用户体验

后台的程序对于一些操作，如删除、审核必须让用户确认一下才可以执行。

不管用户操作成功或失败都需要给与提示信息。

对于用户注册、用戶登陆、调查问卷、在线反馈、评论等程序需要加上验证码，防止机器人绕过限制提交垃圾信息