1、后臺用戶名和密碼是否是明文保存的？

建議增加昵稱字段，區(qū)別后臺的用戶，同時對用戶名和密碼進(jìn)行非規(guī)范的md5加密，例如加密以后截取15位字串。

2、管理成員是否有權(quán)限的劃分

一旦沒有劃分權(quán)限，一個編輯用戶的帳戶失竊也可能為你帶來災(zāi)難性的后果

3、是否有管理日志功能

管理日志必須在近幾日無法被刪除，這是分析入侵者入侵手法的重要依據(jù)。

4、后臺入口是否隱秘

不要愚蠢地將入口暴露在前臺頁面中，也不要使用容易被猜測到的后臺入口地址。

5、后臺頁面是否使用了metarobots協(xié)議限制搜索引擎抓取

google工具條，百度工具條，或者不經(jīng)意間出現(xiàn)的后臺鏈接都可能導(dǎo)致你的后臺頁面被搜索引擎發(fā)現(xiàn)，這時候在meta中寫入禁止抓取的語句是個明智的選擇，但是，切莫將后臺地址寫入robots.txt，參照第四點(diǎn)。

6、管理頁面是否做了防注入

粗心的程序員往往只考慮了前臺頁面的注入。

7、access是否有自定義數(shù)據(jù)庫備份功能

這是asp+access系統(tǒng)中最臭名昭著的功能，自定義數(shù)據(jù)庫備份可以讓入侵者輕松獲得webshell

• 上一篇：關(guān)于網(wǎng)站建設(shè)的一些小技巧
• 下一篇：怎樣把網(wǎng)站做得更好