一．?dāng)?shù)據(jù)庫(kù)安全問(wèn)題
 
根據(jù)國(guó)內(nèi)相關(guān)網(wǎng)站模板 調(diào)查顯示，國(guó)內(nèi)的網(wǎng)站用ASP+Access或SQLServer的占7o％以上．PHP+MySQL占2O％其他的不足1O％。而數(shù)據(jù)庫(kù)是一個(gè)網(wǎng)網(wǎng)站建設(shè) 站建設(shè)網(wǎng)站的核心，因此數(shù)據(jù)庫(kù)的安全也成為網(wǎng)站建設(shè)網(wǎng)站安全的首要問(wèn)題。
 
1．?dāng)?shù)據(jù)庫(kù)位置和名稱安全。以往許多網(wǎng)站設(shè)計(jì)人員會(huì)把數(shù)據(jù)庫(kù)放在Data或Database等目錄下．對(duì)數(shù)據(jù)庫(kù)的文件名也通常采用Data、Mydata、Database、DataShq0等．這種做法很容易被非法用戶猜解到并下載用戶數(shù)據(jù)庫(kù)．從而使網(wǎng)站建設(shè)網(wǎng)站的所有數(shù)據(jù)被竊取。解決方案：可以采用字母+數(shù)字并超過(guò)8位的組合作為數(shù)據(jù)文件目錄或文件名，對(duì)于Access文件最好更改其擴(kuò)展名．MDB為ASP以加強(qiáng)安全性。
 

2．?dāng)?shù)據(jù)庫(kù)連接宇串安全問(wèn)題
 
這類安全問(wèn)題主要是兩個(gè)方面；一是在數(shù)據(jù)庫(kù)連接字串中不直接出現(xiàn)明文密碼，采用對(duì)稱加密密碼可以提高數(shù)據(jù)庫(kù)的安全二是數(shù)據(jù)連接文件不要用常見(jiàn)的Conn、DbConn作為文件名，避免使用．inc．a(chǎn)sa、txt作為擴(kuò)展名，同時(shí)也不要把文件放在類似Inc、Data、Conn等目錄下，以防數(shù)據(jù)庫(kù)連接被非法下載。
 

3．?dāng)?shù)據(jù)庫(kù)結(jié)構(gòu)安全問(wèn)題(1)數(shù)據(jù)表的命名問(wèn)題。為了安全需要，不要直接用類似Admin、User、Product等作為表名，可以使用XX—Admin—XX等形式，用字母和數(shù)宇組合作為表名的前后綴，以防止SQL注入時(shí)被猜解出表名。(2)數(shù)據(jù)宇段的命名問(wèn)題。同樣在數(shù)據(jù)字段命名時(shí)，也不要直接用Admin、UserName、用戶名、密碼Passwor、Pwd、UserPwd等作為敏感字段名，可以采用一些難以猜解的字母和數(shù)宇組合來(lái)作為字段名以加強(qiáng)數(shù)據(jù)的安全性。(3)數(shù)據(jù)庫(kù)權(quán)限安全問(wèn)題盡量不要把數(shù)據(jù)庫(kù)密碼留空或使用弱13令作為數(shù)據(jù)庫(kù)密碼，合理使用1O位以上的數(shù)據(jù)庫(kù)密碼會(huì)進(jìn)一步加強(qiáng)數(shù)據(jù)庫(kù)的安全。
二．WEB服務(wù)器上的安全漏洞。WEB服務(wù)器上的漏洞可以從以下幾方面考慮：
 
(1)在WEB服務(wù)器上你不讓人訪問(wèn)的秘密文件、目錄或重要數(shù)據(jù)。(2)WEB服務(wù)器本身存在一些漏洞使得一些人能侵入到主機(jī)系統(tǒng)．破壞一些重要的數(shù)據(jù)．甚至造成系統(tǒng)癱瘓。(3)從遠(yuǎn)程用戶向服務(wù)器發(fā)送信息時(shí)，特別是信用卡之類東西時(shí)．中途遭不法分子非法攔截。(4)還有一些簡(jiǎn)單的從網(wǎng)上下載的WEB~JE務(wù)器．沒(méi)有過(guò)多考慮到一些安全因素．不能用作商業(yè)應(yīng)用。(5)WEB服務(wù)器的一些擴(kuò)展組件存在漏洞，可能導(dǎo)致網(wǎng)絡(luò)安全和信息泄漏。因此．不管是配置服務(wù)器．還是在編寫(xiě)網(wǎng)站程序時(shí)都要注意系統(tǒng)的安全性。盡量堵住任何存在的漏洞．創(chuàng)造安全的環(huán)境。
 
2．WEB服務(wù)器安全預(yù)防措施
 
 
三、網(wǎng)站程序安全問(wèn)題及對(duì)策
 
網(wǎng)站建設(shè)網(wǎng)站程序的安全是許多企業(yè)忽視的問(wèn)題，也是嚴(yán)重導(dǎo)致企業(yè)信息泄漏的最主要的途徑之一。
 
1代碼漏洞安全問(wèn)題。產(chǎn)生這種漏洞的主要原因是網(wǎng)站程序代碼編寫(xiě)的不完善造成的．而這種不完善的代碼極有可能會(huì)暴露網(wǎng)站的數(shù)據(jù)庫(kù)或后臺(tái)管理等重要的安全信息(下文均以ASP為例)。(1)數(shù)據(jù)庫(kù)連接字串的某些錯(cuò)誤導(dǎo)致WEBI~．務(wù)器錨誤提示，而這些錯(cuò)誤提示中可能會(huì)含有數(shù)據(jù)庫(kù)或表等重要信息。(2)對(duì)頁(yè)面參數(shù)不作任何判定導(dǎo)致所謂的SQLInjection，即SQL注入從而泄漏用戶信息。這種安全漏洞是2004年以來(lái)網(wǎng)站信息安全的最大隱患，而國(guó)內(nèi)許多網(wǎng)站建設(shè)網(wǎng)站并沒(méi)有采取相應(yīng)的安全措施，導(dǎo)致網(wǎng)站建設(shè)網(wǎng)站很容易被攻破。(3)企業(yè)后臺(tái)管理程序中只有主程序要求管理員的身份信息，而其它管理頁(yè)面卻忽視了身份驗(yàn)證信息，這種疏忽使非法用戶可能通過(guò)直接輸入后臺(tái)的某個(gè)管理頁(yè)面的形式進(jìn)入到后臺(tái)管理中去，如果正好有管理員密碼修改的頁(yè)面出現(xiàn)此問(wèn)題，則會(huì)導(dǎo)致網(wǎng)站后臺(tái)的完全暴露。
 
2．后臺(tái)管理程序文件的安全問(wèn)題。現(xiàn)在大多數(shù)企業(yè)采用后臺(tái)管理的方式對(duì)網(wǎng)站建設(shè)網(wǎng)站進(jìn)行管理，網(wǎng)站建設(shè)網(wǎng)站后臺(tái)的入13安全是很多企業(yè)忽視的問(wèn)題。比如許多網(wǎng)站建設(shè)網(wǎng)站后臺(tái)入13通