在这里，我想和大家分享一下我对服务器安全的认识。虽然很早以前就想过黑客，因为各种原因没有做黑客，但是一直关注服务器安全领域。

很久以前，我设置服务器只是为了测试我学到的知识点，但我并没有太注意安全性。服务器总是受到各种各样的攻击，我当时也没怎么注意。之后，我真的用服务器搭建了一个正式的网站，才感受到安全问题的紧迫性。当时服务器买的比较早，用在web环境的书房相信大家对这个环境都很熟悉，一键相对方便智能。开始时，会有一个默认设置界面，提示您配置成功。其实这只是一个测试界面，有很多敏感的数据信息，也有很多漏洞可以注入。无论是iis还是tomcat，默认设置界面都必须在短时间内删除。

配置mysql数据库查询时，切记不要将端口设置为3306，因为默认端口号会导致入侵。我必须写一个不可预测的端口号。登录密码不能是默认登录密码，如123456。应该是尽可能的复杂和多样化(我有一个朋友在数据库查询的时候没有登录密码，然后就被当成肉鸡处理了一次，一个月的服务器数据流就消失了……)。还需要关闭数据库查询的远程登录功能。时刻关注管理员账户，立即清理多余账户。有时攻击者可能会留下一个隐藏的帐户。正常开发维护尽量不要使用超级管理员账号。登录密码应该尽可能复杂，并经常更改。

如果你刚学会使用网站服务器，或者建议安装一个防护软件，很多注册表规则和系统权限都不需要自己配置。防护软件很多，最好手动部署和加固。如果不明白这一点，可以向专业的网站安全公司求助，比如SINE安全、鹰盾安全、启明星辰， 绿盟等。我没有立即配置服务器的环境。现在，把它写下来。以下是对用户访问权限的控制。在编写apache部署时也讨论了具体的访问控制。总之，尽量写下严格的准入规则。事实上，有些配置，比如防止暴力破解和DDOS，最好由机房的硬防御来处理。数据库查询的登录用户不应该使用超级管理员权限，web服务应该分配任何必要的权限，以便在管理后台隐藏错误信息。

仅仅知道服务器的运维是不够的，还需要研发(发现常见的安全问题，首先要骂服务器运维人员…其实研发上有疏忽，但一定要看是什么样的安全问题)。

用户的get提交的参数限制不应该只在web的前端。那些真正想攻击网站的人无疑不会在网页上填写一些代码。后台管理要有严格的限制，文件上传可以设置文件夹目录的执行权限。我通常会对前端用户传递的参数进行严格的限制。例如，在后台管理界面中使用的参数都是英文字母或数字，因此我只能通过常规匹配来匹配我需要的英文字母或数字。这里我们还需要了解一些常见的黑客方法，比如XSS、CSRF、sql注入等。一般来说，数据库的查询注入通常是有害的，可以利用pDO的关联查询来处理注入问题。当然，它也可以对数据信息进行去正则化和限制，对其进行转义或编码存储。对于用户的登录密码，采用md5加密和变多模式的加密算法。

记住，不要相信用户输入的数据信息。

其实我说的只是一小部分安全常识，也是最基本的。这也是我在开发运维的时候总结的一些知识点。都是些零碎的东西。我记得它不是很完整。想到就加~