1.对所有提交数据的过滤判断,防止跨站攻击等。2.防范SQL语句注入攻击,对地址栏参数进行过滤。3.编写代码不严谨导致的bug。4.用验证码等验证机制防止暴力破解和大量垃圾信息提交。5.不把网站错误信息显示在前台。6.所有页面做好权限授权验证。7.目录文件访问控制。8.机密数据用sha1或其它方法加密。9.合理分配数据库权限。10.管理员意识培训,防止弱密码或被社会工程学获得权限。
