1、页面操作授权验证:访问或更改页面,在登入后台程序时需经过授权验证,否则不允许登入。
2、配置文件安全:程序中的配置文件不允许用户直接访问,将文件扩展名更改为asp/php等,程序配置文件要重点防护。
3、使用验证码:使用验证码包括用户登录、表单提交、在线反馈等,也是防止机器人重复提交垃圾信息有效的方式之一。
4、错误提示:过于详细的错误提示可能会暴露数据库文件的路径,也有通过给出的提示信息从而发现可能存在的漏洞。
5、数据验证:通常使用的检验方式是数据验证,设置程序,对任何输入的内容进行检查,接收能接收的内容,拒绝不能接收的内容。非法输入是程序与数据库常见的漏洞之一,在数据被输入前应该对其合法性进行检验。
6、目录权限:确保用户只能访问网站目录下的内容,而无法目录以外的,并且确认程序中包含的文件位置正确。
7、地址栏变量验证:对于从地址栏上收到的变量,需要验证其合法性。
8、资源释放:程序中使用了关键资源后,应进行显示释放和关闭。