網(wǎng)站的安全非常重要，如果您的網(wǎng)站中存在需要授權才能訪問的內(nèi)容，保護好這些內(nèi)容是您的責任，使用安全的數(shù)據(jù)庫技術，對關鍵數(shù)據(jù)進行加密，過濾用戶上傳的數(shù)據(jù)是保證網(wǎng)站安全的重要途徑。網(wǎng)站安全性遵從以下規(guī)則：

　　使用安全的數(shù)據(jù)庫技術

　　目前主流的數(shù)據(jù)庫技術包括 MS SQL Server, Oracle, IBM DB2, MySQL, PostgreSQL，其中 MySQL 和 PostgreSQL 屬于開源數(shù)據(jù)庫，其它三種數(shù)據(jù)庫根據(jù)不同許可方式有不同的價格?？紤]到安全，它們都是非常安全的數(shù)據(jù)庫技術，需要注意的是，我們并不建議采用 Access，首先 Access 是一種桌面數(shù)據(jù)庫，并不適合可能面臨海量訪問的企業(yè)網(wǎng)站，其次，Access 是一種非常不安全的網(wǎng)站數(shù)據(jù)庫，如果您的 Access 數(shù)據(jù)庫文件的路徑被獲取，人們很容易將這個數(shù)據(jù)庫文件下載下來并看到數(shù)據(jù)庫內(nèi)的一切內(nèi)容，包括需要授權才能看到的內(nèi)容。如果您選擇 Access 的原因是因為它免費，您需要知道 MSDE 也是免費的。

　　用戶密碼或其它機密數(shù)據(jù)必須用成熟加密技術加密后再存放到數(shù)據(jù)庫

　　使用明文在數(shù)據(jù)庫中存儲用戶密碼，信用卡號等數(shù)據(jù)是非常危險的，即使您使用的是非常安全的數(shù)據(jù)庫技術，仍然要非常謹慎，任何機密數(shù)據(jù)都應該加密存儲，這樣即使您的數(shù)據(jù)庫被攻破，那些重要的機密數(shù)據(jù)仍然是安全的。

　　密碼或其它機密數(shù)據(jù)必須用成熟加密技術加密后才能通過表單傳遞

　　如果您的網(wǎng)站沒有使用 HTTPS 加密技術，那您的網(wǎng)站服務器和訪問客戶之間的所有數(shù)據(jù)都是以明文傳輸?shù)?，這些數(shù)據(jù)很容易在交換機和路由器節(jié)點的位置被截獲，如果您無法部署 HTTPS，將所有機密數(shù)據(jù)加密后再通過網(wǎng)絡傳播是非常有效的辦法

　　密碼或其它機密數(shù)據(jù)必須用成熟加密技術加密后才能寫入 Cookie

　　很多網(wǎng)站將用戶帳戶信息寫到 Cookie 中，以便用戶下次訪問時可以直接登陸。如果用戶帳戶信息未經(jīng)加密直接寫到 Cookie 中，這些數(shù)據(jù)很容易通過查看 Cookie 文件獲得，尤其當您的用戶是和別人共用電腦的時候。

　　對于訪問者提交的任何數(shù)據(jù)，都要進行惡意代碼檢查

　　雖然我們要信任用戶，但在網(wǎng)絡中，我們必須假設所有用戶都是危險的，如果您不對他們提交的數(shù)據(jù)進行檢查，就可能出現(xiàn) SQL Injection, Cross-site scripting 等安全問題。

　　網(wǎng)站必須有安全備份和恢復機制

　　任何網(wǎng)站都可能發(fā)生硬件或軟件災難，導致您的網(wǎng)站丟失數(shù)據(jù)，您必須根據(jù)您網(wǎng)站的規(guī)模和更新周期，定期對網(wǎng)站進行安全備份，在災難性事故發(fā)生以后，您的備份恢復機制需要在很短的時間內(nèi)將整個網(wǎng)站恢復。需要注意的是，您一定要對您的備份恢復機制進行測試，保證您的備份數(shù)據(jù)是正確的。

　　網(wǎng)站的錯誤信息必須經(jīng)過處理后再輸出

　　錯誤消息常常包含非?？膳碌募夹g細節(jié)，幫助黑客攻破您的網(wǎng)站，您應當對網(wǎng)站底層程序的錯誤消息進行處理，防止那些調(diào)試信息，技術細節(jié)暴露給普通訪問者。

• 個人網(wǎng)站