在ASP.NET編程中的十種安全措施

1、 MD5 加密用戶密碼

本系統用戶密碼採用MD5加密，這是一種安全性很是高的加密算法，是廣泛使用普遍應用於文件驗證，銀行密碼加密等領域，因爲這種加密的不可逆性，在使用10位以上字母加數字組成的隨機密碼時，幾乎沒有************的可能性。

2、 COOKIES加密a

保存COOKIES時，對保存於COOKIES中的數據採用了以MD5加密爲基礎，加入隨機加密因子的改進型專用加密算法。因爲使用的不是標準MD5加密，所以COOKIES中保存的數據不可能被解密。所以，黑客試圖用僞造COOKIES攻擊系統變得徹底不可能，系統用戶資料變得很是安全。

3、 SQL注入防禦

系統在防SQL注入方面，設置了四道安全防禦：

第1、 系統級SQL防注入檢測，系統會遍歷檢測全部用GET、POST、COOKIES提交到服務器上的數據，如發現有可能用於構造可注入SQL的異常代碼，系統將終止程序運行，並記錄日誌。這一道安全防禦加在鏈接數據庫以前，能在鏈接數據庫前擋處幾乎全部的SQL注入和危害網站安全的數據提交。

第2、 程序級安全仿SQL注入系統，在應用程序中，在構建SQL查詢語句前，系統將對由外部獲取數據，並帶入組裝爲SQL的變量進行安全性驗證，過濾可能構成注入的字符。

第3、 禁止外部提交表單，系統禁止從本域名以外的其它域名提交表單，防止從外部跳轉傳輸攻擊性代碼。

第4、數據庫操做使用存儲過程 系統全部的重要數據操做，均使用存儲過程完成，避免組裝SQL字符串，令即便經過了層層SQL注入過濾的攻擊性字符仍然沒法發揮做用。

4、 木馬和病毒防禦

針對可能的木馬和病毒問題，系統認爲，在服務器設置安全的狀況下，外部帶來的安全問題，主要是用戶可能上傳病毒和木馬，做了以下四層的防禦

第1、 客戶端文件檢測，在上傳以前，對準備上傳的文件進行檢測，若是發現不是服務器設置的容許上傳的文件類型，系統拒絕進行上傳。若是客戶端屏蔽了檢測語句，則上傳程序同時被屏蔽，系統沒法上傳任何文件。

第2、 服務器端文件安全性檢測，對上傳到服務器的文件，程序在將文件寫入磁盤前，檢測文件的類型，如發現是可能構成服務器安全問題的文件類型，即全部能夠在服務器上執行的程序，系統都拒絕寫入磁盤。以此保證不被上傳可能在服務器上傳播的病毒和木馬程序。

第3、對有權限的服務器，系統採用即上傳即壓縮策略，全部上傳的除圖片文件、視頻文件外，其它各類類型的文件一但上傳，當即壓縮爲RAR，所以，即便包含木馬也沒法運行。不能對網站安全帶來威脅。

第4、底層的文件類型檢測系統對文件類型做了底層級檢測，因爲不只檢測擴展名，而是對文件的實際類型進行檢測，因此沒法經過改擴展名方式逃過安全性驗證。

5、 權限控制系統

系統設置了嚴格有效的權限控制系統，何人能夠發信息，何人能刪除信息等權限設置系統一共有數十項詳細設置，而且網站不一樣欄目能夠設置徹底不一樣的權限，全部權限均在多個層次上嚴格控制權限。

6、IP記錄

IP地址庫 除記錄全部重要操做的IP外，還記錄了IP所在地區，系統中內置約了17萬條IP特徵記錄。

詳細的IP記錄全部的建立記錄、編輯記錄行爲（如發文章，發評論，發站內信等），均記錄此操做發生的IP，IP所在地區，操做時間，以便往後備查。在發現安全問題時，這些數據會很是關鍵和必要。

7、隱藏的程序入口

有全站生成靜態頁 系統能夠全站生成HTML靜態文件，使網站的執行程序不暴露在WEB服務中，HTML頁不和服務器端程序交互，黑客很難對HTML頁進行攻擊，很難找到攻擊目標。

8、有限的寫文件

系統全部的寫文件操做只發生於一個UPFILE目錄，而此目錄下的文件均爲只需讀寫便可，可經過WINDOWS安全性設置，設置此目錄下的文件只讀寫，不執行，而程序所在的其它文件夾只要執行和讀權限，從而使破壞性文件沒法破壞全部程序執行文件，保證這些文件不被修改。

9、做了MD5校驗的訂單數據

在商城訂單處理中，對提交的訂單信息做了MD5校驗，從而保證數據不被非法修改。

10、編譯執行的代碼

因爲基於.net開發，代碼編譯執行，不但更快，也更安全

我用這些辦法，做的網站程序叫網站快車，你們去看看，是否是安全。