网路游侠：网站服务器安全指南（初级版） 2009年第1版

　 小程序创业扶持计划 实现月入10万创业梦

　　2009年第一次聚会是参加einit的聚会，主题是站群网站安全。当时答应写一篇文章给大家参考的，结果忙的半死，现在在长途车上，把本文完成吧!

　　大体上写下目前网站服务器经常会遇到的问题和解决方法。当然，不要指望我写的很详细，因为范围太宽了，我只能给出大体的思路。

　　转载请注明版权：张百川(网路游侠)博客http://www.youxia.org

　　本文从下面几个方面来分析：

　　实际上很难区分的这么详细，有些地方的交叉还是有的。下面展开来说：

　　1. 应用程序

　　a) SQL注入。曾经在2003、2004、2005年大放异彩的WEB攻击方式，特别在03-04年的时候，要拿到一个站的WebShell是很简单的事情，那时候也没有通用防注入脚本之类的程序，程序员也没有这个意识。不过现在来说稍微好了一些，程序员至少知道了，但是一些早期的程序依然没有很好的修改这样的问题。解决方法：利用通用防注入脚本(注意有些防注入脚本程序自身过滤也不严格，找最新版本的吧)或者采取一些软件或硬件的安全产品。当然最彻底的还是从程序自身入手，过滤严格一些。

　　b) 跨站脚本攻击。缩写为CSS，不过由于和网站制作上的层叠样式表重复，一般也写作XSS。现在最流行的攻击方式。最简单的测试方式是：