论网站漏洞的预防和治理

网站漏洞不可怕，被攻击也不可怕，可怕的是一味妥协，只会被人追着让人干。

现在PHP系统几乎大行其道，对于加"盐”的口令，就算后端代码写的有多疏漏/多垃圾，用口令限制登录的页面几乎不可能绕过，因为攻击者需要解析加盐的口令，就目前的技术水平这几乎不大可能实现。我们今天主要讲一下网站漏洞预防和治理的几个面：

1 权限
给不同的目录合适的权限。上传/图片/样式/JS文件目录禁止脚本访问，限制访问文件的后缀。你可以写入、修改文件，但不能执行诸如PHPASP等脚本，即无执行脚本权限。这样即使他上传了一个PHP文件，在该目录也无法执行。

2 上传
由于前面我们限制了执行权限，所以上传无论他上传什么文件就不必担心。那么上传需要注意什么呢？就是防止用户跨目录上传，比如应当上传到./img目录，攻击者伪造成 ../.././img或./img/../../诸如此类。这就要求我们在上传时严格限制上传目录路径，写死,不接收REQUEST/GET/POST目录地址！

3 过滤
PHP与ASP一样,作为一种脚本语言，伴随它而生了各种危险的字符注入,这就需要我们对用户提交的每一个字符进行严格的过滤,阻止这些危险的字符串储存和执行查询。

做好以上3点，你不需要再为漏洞而烦恼，因为你已将99%的小虾米拒之门外。

有MJJ问，你为什么不提及纯静态技术呢？很抱歉，我认为这不是一种技术。纯静态的确对防治漏洞有很大奇效，但这也加大了站长的工作量。若静态页面所在服务器被统一挂马，请问你要清理到何时？当然也可以把静态页面放到OSS这类云储存上，但这只对部分完全无互动的站点有效，当今互联网，几乎不存在无互动栏目的站点了吧？

所以我不赞成站长为了漏洞担忧而去全站静态迁移，这种心思只会助长攻击者的信心。

我要说，我不怕它！从另一方面，有攻击者、漏洞的存在，在不断的交锋中，才能让网站提升的更加安全可靠。