很多网站上线后，安全漏洞的问题非常明显。作为网站安全公司的负责人，我想和大家分享一些日常网站维护中遇到的防范黑客攻击的建议，希望所有网站都能正常稳定运行，避免黑客攻击。

1.将上传文件的目录设置为脚本无法执行的权限

如果Web服务器无法解析文件目录中的脚本文档，即使黑客攻击并发送脚本文档，Web服务器本身也不容易被破坏。许多商业网站发送和使用、上传文件并将其放在单独的存储中，以解决静态数据文件。一方面，缓存文件用于加速和减少服务器硬件消耗；另一方面也避免了实现脚本木马的可能性。

2区分分机和发送的分机

区分扩展名时，将MIMEType措施和文件后缀检查措施结合起来。在扩展检查中，强烈建议使用白名单机制，而不是黑名单。此外，为了解决上传照片的问题，使用收缩功能或调整大小功能会在处理照片时破坏照片中包含的HTML代码。

3.独立设置网站域名访问发送路径

因为网站服务器都在同一个服务器上，域名不一样，所以一系列的客户端攻击都会失效，比如实现JS代码的XSS跨站脚本指令攻击等问题都会迎刃而解。能否这样设置，要看实际业务流程的具体环境。另外，对于上传文件的功能，需要充分考虑病毒感染、木马病毒、SE图片视频、非法文档等。这其中更离不开实际的网络安全防护，所以必须做大量的工作。只有不断发现问题，结合业务流程需求，才能设计构思出有效、安全的上传功能。

SQL注入国防

解决思路：

-查找所有SQL注入系统漏洞声明

-修复此系统漏洞

1.使用预编程的查询语句

防范SQL注入攻击的最佳措施是使用预编译的查询语句，关联变量，然后定义变量的类型。例如，您只能在定义函数的数字类型时输入数字。

2.使用存储过程

实际效果类似于预编程语句，但不同之处在于存储过程必须首先在数据库查询中定义SQL语句。必须存在注入问题，以防止在存储过程中使用动态SQL语句。

3.检查基本数据类型

4.使用安全功能

各种Web代码都保留了一些编号功能，可以帮助抵抗SQL注入。

5.其他建议

从数据库查询本身来看，应该使用最低管理权限标准来防止Web应用程序直接将数据库查询与root和dbowner等高管理权限帐户连接起来。为每个应用程序独立分配不同的帐户。Web应用程序中使用的数据库查询帐户不应该具有建立自定义功能和实际操作本地文档的管理权限。说了这么多，你可能不太熟悉程序代码，建议你可以咨询专业的网站安全公司，帮你保护网站。