对于网站的安全可以从运行环境与网站程序两个方面来分析:
其一,网站运行环境的安全主要包括物理的安全和网站运行支撑软件本身的安全。
物理安全是指系统机器及其外设不遭受各种物理破坏,如被盗、遭火灾、水灾等;支撑软件本身的安全是指网络操作系统、web服务器系统及数据库系统本身的安全,此类安全用户是无能为力的,只有及时安装厂家发布的安全补丁程序。
其二,对于网站程序自身的安全,应该从以下几个方面考虑。
(1)不信任原则
对网站程序来讲,访问网站的用户都是不被信任的,他们当中就隐藏着攻击者。所有用户的输入都应该检查。合法的输入才可以进入流程,这样就可以最大限度的保证程序的安全。
(2)输入检查原则
从目前的网站程序来看,用户的输入分为文本型和二进制型。对于文本型输入,如果要进行检查,就得根据字段本身的性质进行,如邮编必须限制为六位数字,身份证号码必须符合身份证号码的编码规则等。
需要说明的是,为了进一步提高网站的安全性,应该采用前后数据检查相结合的方法来完成程序对输入数据的检查,避免用以前采用的只在前台通过客户端脚本完成数据检查的做法,因为原来的做法攻击者和容易绕过检查程序 ,如SQL注入攻击等。
(3)用户最小权限原则
访问网站的用户有什么样的权限,要根据网站的性质和需要客户做什么来决定,但是有一个基本的原则,就是服务器的安全性。对于访问网站的用户,尽量规范他们可以输入的内容&#