网站在建设过程当中，由于疏忽可能会导致一些安全漏洞发生，作为一名网站建设人员应该有必要了解网站在建设过程中可能出现的安全漏洞，以及如何预防安全漏洞的发生?

　　明文传输

　　问题描述：对系统用户密码的保护不足，攻击者可以使用攻击工具从网络窃取合法的用户密码数据。

　　修改建议：传输的密码必须加密。

　　注意：所有密码都是加密的。使加密复杂化。不要使用base64或md5。

　　sql注入

　　问题描述：攻击者使用sql注入漏洞来获取数据库中的各种信息，例如：管理后台密码，从而删除数据库的内容(去数据库)。

　　修改建议：过滤并验证输入参数。使用黑白名单。

　　注意：过滤和验证应覆盖系统中的所有参数。

　　跨站脚本攻击

　　问题描述：输入信息未经验证，攻击者可以巧妙地将恶意指令代码注入网页。该代码通常是JavaScript，但实际上，它也可以包括Java，VBScript，ActiveX，Flash或纯HTML。攻击成功后，攻击者可以获得更高的特权。

　　修改建议：筛选并验证用户输入。输出以HTML实体编码。

　　注意：过滤，检查HTML实体编码。覆盖所有参数。

　　文件上传漏洞

　　问题描述：没有文件上传限制，并且可执行文件或脚本文件可能已上传。进一步导致服务器掉线。

　　修改建议：严格验证上传的文件，以防止上传危险的脚本，例如asp，aspx，asa，php，jsp等。建议同事添加文件头验证，以防止用户上传非法文件。

　　敏感信息泄漏

　　问题描述：系统公开内部信息，例如网站的绝对路径，网页的源代码，SQL语句，中间件版本和程序异常。

　　修改建议：过滤用户输入的异常字符。阻止一些错误回声，例如自定义404、403、500等。

　　命令执行漏洞

　　问题描述：脚本程序调用如php的system、exec、shell_exec等。

　　修改建议：对需要在系统中执行的命令进行修补，严格限制。

　　CSRF(跨站请求伪造)

　　问题描述：已经登录到用户并在不知情的情况下执行某种操作的攻击。

　　修改建议：添加令牌验证。时间戳或此图片验证码。

　　SSRF漏洞

　　问题描述：服务器请求伪造。

　　修改建议：修补或卸载无用的软件包

　　默认密码，弱密码

　　问题描述：因为默认密码，弱密码很容易猜到。

　　修改建议：加强密码强度不适用于弱密码