一（yī）、 MD5 加密用户密码

本系（xì）统用户密码采用MD5加密，这是一种（zhǒng）安全（quán）性非（fēi）常高的加密算法，是普遍（biàn）使用广泛应用（yòng）于文件验证，银行密码（mǎ）加密等领域，由（yóu）于这种加（jiā）密的不可逆性，在使用（yòng）10位以上（shàng）字（zì）母加数字组成的（de）随机（jī）密码时，几乎（hū）没（méi）有************的可（kě）能性（xìng）。

二、 COOKIES加密a

保存COOKIES时，对（duì）保存于COOKIES中（zhōng）的（de）数（shù）据采（cǎi）用了以MD5加密（mì）为（wéi）基（jī）础，加入随机加密因子的（de）改进型专（zhuān）用加密（mì）算法。由于使用的（de）不（bú）是标（biāo）准MD5加密，因此COOKIES中保存的数（shù）据不可（kě）能被解密。因（yīn）此，黑（hēi）客试（shì）图用伪造（zào）COOKIES攻击系统变得完全（quán）不（bú）可能（néng），系统用户资料变得（dé）非常安（ān）全。

三、 SQL注入防护

系统在（zài）防SQL注入方面（miàn），设置了四道安全防护：

第一（yī）、 系统级SQL防注入（rù）检测，系统会遍历检测所有（yǒu）用GET、POST、COOKIES提交到服务器上的数据，如发现有（yǒu）可能用于构造可注入SQL的异常代码，系统将终（zhōng）止程序运行，并（bìng）记录日志（zhì）。这一道安全防护加在（zài）连接数据库之前，能在连接数据库前（qián）挡处几乎所（suǒ）有（yǒu）的SQL注入和危害（hài）网站安全（quán）的数据提交。

第二、 程序（xù）级安全仿SQL注入（rù）系统，在应（yīng）用程序中，在（zài）构建SQL查询（xún）语句前（qián），系（xì）统将对由外部获取数（shù）据，并（bìng）带入组装为SQL的变（biàn）量（liàng）进行（háng）安全性验证，过（guò）滤可能构成（chéng）注入的字符。

第三、 禁止外（wài）部提交表（biǎo）单，系统（tǒng）禁止（zhǐ）从本（běn）域名（míng）之外的其它域（yù）名（míng）提（tí）交表单，防止从外部跳（tiào）转传输攻击性代码。

第四、数据库操（cāo）作使用存储过（guò）程 系（xì）统（tǒng）所有的重要数据操作，均使用存储过（guò）程完成，避免组装SQL字符（fú）串，令即使通过了（le）层（céng）层SQL注入过滤的攻（gōng）击性字符仍（réng）然无法发（fā）挥作用。

四、 木马和病毒（dú）防护

针对可（kě）能的（de）木马和病毒问题，系统认（rèn）为，在服务器设置安全（quán）的情况下，外部带（dài）来的（de）安全问题（tí），主要是用户可能上传（chuán）病（bìng）毒和木马，作（zuò）了如下四（sì）层的防护

第一、 客户端文件检（jiǎn）测，在上传之前，对准（zhǔn）备上传的文（wén）件进行（háng）检测，如果发现不是服（fú）务器（qì）设置的允许上传的（de）文件类型（xíng），系统拒绝进行上传。如果客户端屏（píng）蔽了检测（cè）语句，则上传程序同时被屏蔽，系统无法上传任何（hé）文（wén）件。

第二、 服（fú）务器端文件安全性（xìng）检测，对上传（chuán）到（dào）服务（wù）器的文件，程序在将文件写入（rù）磁盘前，检测（cè）文件（jiàn）的类（lèi）型，如发现是可（kě）能构成服务器安全问题的（de）文件类（lèi）型，即所（suǒ）有可以在服务器（qì）上执行的程序，系统都拒绝写入（rù）磁盘。以此保证不被上传可（kě）能在服务器上传播的病毒和木马（mǎ）程序。

第三、对有权限的服务器，系（xì）统采用即（jí）上传（chuán）即（jí）压缩策略，所（suǒ）有上传的除图片文件、视频（pín）文件外，其它（tā）各种类型的（de）文件一但上（shàng）传，立即压缩为RAR，因此，即使包含木（mù）马也无法运（yùn）行。不能对网（wǎng）站（zhàn）安全带（dài）来威胁。

第四（sì）、底层的文（wén）件类型检测系统（tǒng）对文件类型作（zuò）了（le）底层级检测，由于不仅检（jiǎn）测扩（kuò）展名，而是对文件的实际类型进行检测，所以无法通（tōng）过改扩展名方式逃过安全性验证。

五、 权限（xiàn）控制系统

系统设置了（le）严格（gé）有（yǒu）效（xiào）的权（quán）限控制系统，何人（rén）可以发（fā）信息，何人能（néng）删除（chú）信息等权限设置系统一共有数十项详细设置，并且（qiě）网站不同（tóng）栏目可以设置完（wán）全不（bú）同的权限，所有权限均在多个层（céng）次（cì）上严（yán）格控制权限（xiàn）。

六、IP记录

IP地址库 除记录所有重要操作的IP外，还记（jì）录了IP所在地（dì）区（qū），系统（tǒng）中（zhōng）内置约了17万条（tiáo）IP特征记录（lù）。

详细的IP记录（lù）所有的创建（jiàn）记录、编辑记（jì）录行为（如发文（wén）章，发评论，发（fā）站内信等），均记录此操作发生的（de）IP，IP所在地区，操（cāo）作时间，以便（biàn）日（rì）后（hòu）备查。在发（fā）现安（ān）全问题时，这（zhè）些数据（jù）会非常关键和必（bì）要。

七、隐藏的程序入（rù）口

有全站生成静（jìng）态页 系统可以全站生成HTML静态文件（jiàn），使网站的执行程序不暴露在WEB服（fú）务中，HTML页不和（hé）服务器端程序交互（hù），黑客（kè）很难对HTML页进（jìn）行攻击，很难找到攻击目标。

八、有限的写文件

系（xì）统（tǒng）所有（yǒu）的写文件操作只发生于一个UPFILE目录，而（ér）此目录（lù）下的文件均为只需读写即（jí）可，可（kě）通过WINDOWS安全性设置，设置此（cǐ）目录下的文件只读写（xiě），不执行，而（ér）程序所在的（de）其它（tā）文件夹（jiá）只要执行和（hé）读权限，从而（ér）使破坏性（xìng）文件无（wú）法破坏（huài）所有程序执行（háng）文件（jiàn），保证这（zhè）些文（wén）件不被修（xiū）改。

九、作了（le）MD5校验的订单数据

在商城订单处（chù）理（lǐ）中，对提（tí）交（jiāo）的订单信息作了MD5校验，从而（ér）保证（zhèng）数据不被非法修改。

十、编译执（zhí）行（háng）的代码

由于基于.net开发，代码编译（yì）执行，不（bú）但更（gèng）快，也更安（ān）全

我（wǒ）用这些办（bàn）法，作的（de）网站程序叫网站快（kuài）车，大家去看看，是不是安全。