第一个周末

        今天是新年上班第一个周末，昨天王弈那个混蛋非要我给他传电影，结果传了两个就传到了夜里2点多才回去休息，于是今天上午就足足的睡了一个上午，睡的还挺舒服的了。不过周末就在睡觉中度过还真是觉得有些浪费时间，以前浪费的时间已经太多了，剩下的最后半年时间无论如何也不能松懈了否则那就是一辈子的遗憾。
        昨天又到一个叫什么静花的什么社区去狠作弊了一把，看了一下，这个社区成立也有一年多了，同时在线有80多人，于是就注册了一个帐号，赚钱，这次修改的比较狠，只玩了几次就赚了9位数的钱，比里面财富排行最多人还多了一位数。然后就在社区的商店狂买东西，把钱花的只剩下几十万了，这样也许不容易被发现一些吧！后来又仔仔细细想了一下原来那个有漏洞的网站，能不能直接得到机器的控制权，现在我已经可以任意的执行SQL 语句了，但是数据服务器和Web服务器又不是同一台，而且数据库服务器是在内网里，这可就比较难办了，后来想了很久的办法也想不出来，只好作罢。如果那台数据服务器和Web服务器是一台，而且执行SQL语句有足够的权限，那就什么都可以做了。
        自己总结一下，填补网站的漏洞的方法：
        1）如果是用JAVA，尽量使用PreparedStatement而不要直接执行SQL语句，如果直接执行SQL语句，一定要对每个参数都进行预处理；如果是ASP，也是同样的规则，每个输入参数，不管来源是哪里，都要进行预处理。
        2）连接数据库的用户权限不能过高，坚决不能用sa连接。
        3）Web服务器与数据服务器最好分开，数据服务器在内网。
        4）所有输入数据的合法性不仅要在前台判断，后台也一定要判断。
        5）如果有上传文件的地方，对文件类型一定要加以限制。
        6）服务器一定记得打好所有补丁。
        7）服务器使用之前最好用一种漏洞扫描的工具来进行扫描，及时发现问题，及时打补丁。
        8）服务器密码、数据库密码一定要复杂，最好是20位以上数字＋字母＋符号组成
        9）网站完成以后无关的文件一定记得删除，尤其有时候用UE编辑的源代码文件会自动产生一个bak文件，而别人如果访问到了，就会直接暴露出源代码，或者有时候为了发送打的压缩包之类的文件也一定要删除。
        大体的东西暂时只想到这么多，以后想到了再补充。