在ASP.NET编程中的十种安全措施

一、MD5加密用户密码。

该系统的用户密码采用MD5加密，是一种安全性非常高的加密算法，广泛应用于文件验证、银行密码加密等领域。由于这种加密的不可逆性，在使用由10位以上字母和数字组成的随机密码时，几乎没有。

二、COOKIES加密a。

在保存cookies时，基于MD5加密和随机加密因子的改进专用加密算法用于保存cookies中的数据。由于不使用标准MD5加密，cookies中保存的数据无法解密。因此，黑客完全不可能尝试伪造cookies攻击系统，系统用户数据变得非常安全。

三、SQL注入防护。系统在防止SQL注入方面，设置了四种安全防护：首先，系统级SQL反注入检测，系统将检测服务器上提交给GET、POST和COOKIES的所有数据。如果发现可能用于构建可注入SQL的异常代码，系统将终止程序运行并记录日志。在连接数据库之前，这种安全保护可以在连接数据库的前块注入几乎所有SQL并提交危及网站安全的数据。第二，程序级安全模仿SQL注入系统。在应用程序中，在构建SQL查询语句之前，系统将验证从外部获取的数据，并将其带入组装成SQL的变量，以过滤可能构成注入的字符。第三，禁止外部提交表单，系统禁止从本域名以外的其他域名提交表单，防止从外部跳转到传输攻击性代码。

第四，数据库操作使用存储过程系统中的所有重要数据操作，这些操作都是通过存储过程来完成的，从而避免了SQL字符串的组装，这使得即使通过SQL注入过滤的攻击性字符仍然无法工作。

四、木马和病毒保护。对于可能出现的特洛伊木马和病毒问题，系统认为，在服务器安全设置的情况下，外部安全问题主要是由于用户可能上传病毒和特洛伊木马，并对以下四层进行保护。首先，检查客户端文件。上传前，检查要上传的文件。如果发现允许上传的文件类型不是服务器设置的，系统拒绝上传。如果客户端屏蔽了检测语句，上传程序同时被屏蔽，系统无法上传任何文件。第二，服务器端文件安全检测。对于上传到服务器的文件，程序在将文件写入磁盘之前检测文件的类型。如果发现文件类型可能构成服务器安全问题，即系统拒绝将所有可以在服务器上执行的程序写入磁盘。以确保病毒和木马程序不会被上传到服务器上。第三，对于有权限的服务器，系统采用即时上传即时压缩的策略。除了图片文件和视频文件外，上传的所有其他类型的文件一旦上传，就会立即压缩成RAR。因此，即使包括特洛伊木马也不能运行。它不会对网站安全构成威胁。

第四，底层文件类型检测系统对文件类型进行了底层检测。由于不仅检测了扩展名称，而且检测了文件的实际类型，因此无法通过更改扩展名称来逃避安全验证。

五、权限控制系统。

该系统建立了一个严格有效的权限控制系统，谁可以发送信息，谁可以删除信息和其他权限设置系统有几十个详细的设置，网站的不同栏可以设置完全不同的权限，所有权限在多个级别严格控制权限。

六、IP记录。除了记录所有重要的IP操作外，IP地址库还记录了IP所在的区域，系统内置了约17万条IP特征记录。

详细的IP记录所有创作记录和编辑记录行为(如发送文章、评论、发送站内信函等。)，所有这些都记录了这个操作的IP、IP所在区域和操作时间，以备将来参考。这些数据在发现安全问题时非常关键和必要。

七、隐藏的程序入口。

有一个全站生成静态页面系统，可以在全站生成HTML静态文件，这样网站的执行程序就不会暴露在WEB服务中。HTML页面不与服务器端程序交互，黑客很难攻击HTML页面，也很难找到攻击目标。

八、有限写文件。

系统中的所有文件编写操作只发生在一个UPFILE目录中，该目录下的文件只能通过WINDOWS安全设置进行读写置此目录下的文件只读写，不执行，而程序所在的其他文件夹只需要执行和阅读权限，因此破坏性文件不能破坏所有程序执行文件，以确保这些文件不会被修改。

九、MD5验证订单数据。

MD5对商城订单处理中提交的订单信息进行了验证，以确保数据不被非法修改。

十、编译代码。因为基于net开发的代码编译执行，不仅速度更快，而且更安全。我用这些方法，做的网站程序叫网站快车，大家去看看，是否安全。