在眾多網站上線后出現(xiàn)的安全漏洞問題非常明顯,作為網站安全公司的主管我想給大家分享下在日常網站維護中碰到的一些防護黑客攻擊的建議，希望大家的網站都能正常穩(wěn)定運行免遭黑客攻擊。

1.對上傳文件的目錄設定為腳本不能執(zhí)行的權限

要是Web服務器沒法解析該文件目錄下的腳本文檔，即便黑客攻擊發(fā)送了腳本制作文檔，網站服務器自身也不容易受到損害。許多商業(yè)網站的發(fā)送運用，上傳文件之后放進單獨的儲存上，做靜態(tài)數據文檔解決，一方面使用緩存文件加快，減少服務器硬件耗損；另一方面也避免了腳本木馬實行的可能。

2分辨擴展名，對發(fā)送的擴展名進行辨別

分辨擴展名時，結合使用MIMEType措施，文件后綴名查驗等措施。在擴展名查驗中，極力推薦使用白名單機制，而并不是使用黑名單的措施。除此之外針對上傳照片的解決，使用縮小函數或是resize涵數，在處理照片的同時也將毀壞照片中將會包括的HTML編碼。

3.對發(fā)送路徑獨立設定網站域名去訪問

因為網站服務器都在同一服務器上，而且域名都不相同，一系列客戶端攻擊將無效，例如發(fā)送了包含JS代碼的XSS跨站腳本指令攻擊實行等問題將得到解決。是否可以這樣設置，必須看實際的業(yè)務流程的具體環(huán)境。此外，上傳文件作用，也要充分考慮病毒感染，木馬病毒，SE圖片視頻，違規(guī)文檔等與實際網絡安全防護結合更密不可分的難題，則必須做的工作中就大量了。持續(xù)的發(fā)覺難題，結合業(yè)務流程要求，才可以設計構思出有效的，最安全性的上傳作用。

SQL注入的防御

解決構思：

-尋找全部的SQL注入系統(tǒng)漏洞語句

-修復這種系統(tǒng)漏洞

1.使用預編查詢語句

防護SQL注入攻擊的最好措施，就是使用預編譯查詢語句，關連變量，然后對變量進行類型定義，比如對某函數進行數字類型定義只能輸入數字。

2.使用存儲過程

實際效果與預編語句相近，差別取決于存儲過程必須先將SQL語句界定在數據庫查詢中。也肯定存在注入難題，防止在存儲過程中，使用動態(tài)性的SQL語句。

3.查驗基本數據類型

4.使用安全性函數

各種各樣Web代碼都保持了一些編號函數，能夠協(xié)助抵抗SQL注入。

5.其他建議

數據庫查詢本身視角而言，應當使用最少管理權限標準，防止Web運用立即使用root，dbowner等高線管理權限帳戶直接連接數據庫查詢。為每一運用獨立分派不一樣的帳戶。Web運用使用的數據庫查詢帳戶，不應當有建立自定函數和實際操作本地文檔的管理權限，說了那么多可能大家對程序代碼不熟悉，那么建議大家可以咨詢專業(yè)的網站安全公司去幫你做好網站安全防護。