我的网站有多安全？

Question

作为一名初级Web开发人员,我会尽力通过检查来清理所有用户输入.然而,今天,我发现我的网站被黑了(我会根据要求分享他们的网站),这真的让我很奇怪他们是怎么做到的.我正在将我的网站重新组合在一起.我应该怎么做才能防止这些事情发生？是否有人应该与我交谈并询问我的网站有多安全？我该怎么做才能保证我的网站安全？我用PHP和MySQL编写了我的网站.

更新: 最后恢复了备份.我$_GET["name"]在我的脚本中使用,我猜他们是如何进入我的网站的.首先,他们能够在EACH和我服务器上的每个文件夹中放入一个index.html/index.php文件.谁知道我怎么能反驳这个？

更新:它实际上不是我的网站被黑客攻击,但主机.SSH密码被破解,并在每个文件夹中安装了新的索引文件.

Answer 1

这是一个非常广泛的问题,所以你得到的答案同样广泛.

为了测试您的网站的安全性,您可以进行渗透测试.有些公司会为你做这件事.您还可以查看Google Skipfish.

您可以做些什么来保证您的网站安全？您可以:

• 清理并验证所有输入 - 也包括cookie,它们可以像客户端发送的其他内容一样被篡改.
• 使用最新的安全补丁使操作系统和框架保持最新.如果您使用CMS,请务必同时使用它.
• 除非先对html进行编码,否则切勿将用户提交的文本发回.
• 使用参数化SQL查询来阻止SQL注入攻击.
• 总的来说,守则是防御性的.