网站安全要怎么保护？

网站安全要怎么保护？

网站安全太重要了，数据保护一直是站长的心病啊，最近一位站长朋友推荐我用一款叫多备份的saas应用，挺好用挺放心的，你可以去看看呀。

1、用户名与口令被破解

防范技巧：涉及用户名与口令的程序最好封装在服务器端，尽量少在asp文件里出现，涉及与数据库连接的用户名与口令应给予最小的权限。

2、验证被绕过

防范技巧：需要经过验证的asp页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

3、inc文件泄露问题
防范技巧：程序员应该在网页发布前对它进行彻底的调试；安全专家则需要加固asp文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。

4、自动备份被下载

防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以bak为后缀的文件要特别小心。

5、数据库下载漏洞

（1）为你的数据库文件名称起个复杂的非常规的名字，并把它放在几层目录下。

（2）不要把数据库名写在程序中。

（3）使用access来为数据库文件编码及加密。

现在有些人不用通过绕过登录就能直接进入后台了。最流行的应该是通过一些注入软件来获取你数据库密码帐号与密码了。

以我的经验，中等安全后台应该做到如下几点：

第一：后台管理密码用md5加密后存储。

第二：在链接文件（一般为conn文件）里添加防注入代码（在百度搜索防注入密码有很多，直接复制进去就行）。

第三：设置上传文件夹的权限，不给运行asp程序。

做好上面这些小动作后，你的网站应该就不会给黑了。如果你的网站不算大型或者人气旺盛的网站，应该算安全了，不会有人专门来黑你网站的，好多人都是随机用注入工具来检索你网站能否通过注入进入后台然后上传木马的。

看你要什么层次，什么级别的保护了，还要看网站规模，上面跑着什么应用，准备花多少钱，多少人力来完成。