1.更改数据库位置
通常asp网站空间都在ftp根目录设有数据库文件夹db或database文件夹,把数据库移动到这里,然后更改数据库链接,通常是在conn.asp内。
备注:相对路径中,一点是本目录,两点是上层目录。
./本目录
../上层目录
此操作可防止数据库被下载。
2.数据库防下载另一方法
建立一个表NotDown,设制类型为“备注”,然后在其中加入<% loop %>后,再将其类型设制为“OLE 对象”。
此操作可防止数据库被通过http方式下载。
此方法是和1中相同作用,建议使用1种设置。
3.防SQL注入代码
这个网上很多人提供代码,在360网站安全检测平台也有提供,防SQL注入asp语言版点击此处下载
此方法只是处理常见的一些sql注入方式,更多的,请咨询专业人士。
4.网站上传及执行权限
这个要注意关注下自己所使用的网站程序有没有上传文件漏洞。
也要注意设置网站目录下各文件夹的执行权限。
处理上传是防止后门程序,而执行权限是防止被恶意上传后的补充解决方法。
5.robots.txt文件
不要在robots.txt文件里把网站文件夹全名写出,还有一些路径。
像 Disallow: /ad* 就可以屏蔽以ad开头的所有文件夹。
6.密码安全
网站后台密码安全,简单的来说,要添加验证码,不要以明码保存密码,尽量加密保存,当然用户名也可以加密保存。
后台路径也要注意修改一下。
7.用安全软件检测网站漏洞。
使用一些工具检测网站漏洞。像360网站漏洞在线检测,或测试软件IBM AppScan 等都是不错的。
不过要注意,IBM AppScan这样的软件,在检测网站时,视网站空间的配置,有时候会造成网站打不开,请知悉。
asp网站的安全是普遍存在的,只是因为当初很多程序开发人员开发时,可能是经验比较少,不能做到事无俱细,才导致出现很多问题。
很多人说asp网站不安全,这也只是相对来说的。
如果你做好以上几点,当然还有很多,网站安全相对来说会好很多的。
网站入侵,有一种说法,成功与否不以拿下你网站为参考,而是入侵所使用的时间,和最终获得的权限、拿下网站的价值相关的。
如果一个人花一周时间,拿下了一个小站,这或许不是成功的入侵。
QQ925474725
