怎样加强网站的安全

　　网站的安全非常重要，如果企业的网站中存在需要授权才能访问的内容，保护好这些内容是网络管理者的责任，使用安全的数据库技术，对关键数据进行加密，过滤用户上传的数据是保证网站安全的重要途径。网站安全性应遵从以下规则。

    1.使用安全的数据库技术

    目前主流的数据库技术包括MS SQL Server、Oracle、IBM DB2、MySQI。、PostgreSQL，其中MySQL和PostgreSQI。属于开源数据库，其他3种数据库根据许可方式不同有不同的价格。它们都是非常安全的数据库技术，需要注意的是，并不建议采用Acces首先。Access是一种桌面数据库，并不适合可能面临海量访问的企业网站；其次，Acces是一种非常不安全的网站数据库，如果Access数据库文件的路径被获取，人们很容易将这个数据库文件下载并看到数据库内的一切内容，包括需要授权才能看到的内容。如果选择Acces是因为它免费，那么MSDE也是免费的。

    2.用户密码或其他机密数据必须用成熟加密技术加密后再存放到数据库

    使用明文在数据库中存储用户密码、信用卡号等数据是非常危险的，即使使用的是非常安全的数据库技术，仍然要非常谨慎，任何机密数据都应该加密存储，这样即使数据库被攻破，那些重要的机密数据仍然是安全的。

    3.密码或其他机密数据必须用成熟加密技术加密后才能通过表单传递

    如果网站没有使用HTTPS加密技术，那网站服务器和访问客户之间的所有数据都是以明文传输的，这些数据很容易在交换机和路由器节点的位置被截获。如果无法部署HTTPS，将所有机密数据加密后再通过网络传递是非常有效的办法。

    4.密码或其他机密数据必须用成熟加密技术加密后才能写入Cookie

    很多网站将用户账户信息写到Cookie中，以便用户下次访问时可以直接登录。如果用户账户信息未经加密直接写到Cookie中，这些数据很容易通过查看Cookie文件获得，尤其当用户是和别人共用计算机的时候。

    对于访问者提交的任何数据，都要进行恶意代码检查，虽然要信任用户，但在网络中，必须假设所有用户都是危险的，如果不对他们提交的数据进行检查，就可能出现SQLInj ection，Cross—site scripting等安全问题。

    5.网站必须有安全备份和恢复机制

    任何网站都可能发生硬件或软件故障，导致网站丢失数据。必须根据网站的规模和更新周期，定期对网站进行安全备份，在故障发生以后，备份恢复机制需要在很短的时间内将整个网站恢复。需要注意的是：一定要对备份恢复机制进行测试，保证备份数据是正确的。

    6.网站的错误信息必须经过处理后再输出

    错误消息常常包含非常可怕的技术细节，帮助黑客攻破网站。应当对网站底层程序的错误消息进行处理，不要将那些调试信息、技术细节暴露给普通访问者。

    关注北京中万网络公司，获取更多有关网站建设等相关资讯。