1、客户端的基本的控制,使用js控制,比如过滤一些敏感的字符,如引号等,客户端的js过滤是网站安全的第一步,当然js也可以控制所有的字段输入规则,但前提是浏览者的客户端支持js。
2、如果浏览者的浏览器不支持js怎么办呢?那么就得在服务器脚本控制,asp可以专门写一段过滤的函数,用来过滤接入字符,如果是php,可以不用单独使用过滤函数,直接将php.ini的魔法设置打开,会自动过滤不安全字符,但是在php6中已经自动关闭次选项了。
3、如果涉及到文件上传的话需要慎之又慎,因为这是大部分网站被黑的原因,需要严格控制权限和文件类型,不让上传文件有执行权限,在写入文件的脚步加入session控制,将一些常用的文件比如在线编辑器的默认文件名修改称其他的名称,不要使用默认文件名。
4、服务器·经常定期查看,安全日志方面,以及文件修改日期,如果网站的文件最后修改日期被经常改动,说明网站以及遭到入侵,需要找到入侵点,
