SQL注入漏洞：
　　1.解決SQL注入漏洞的關(guān)鍵是對所有來自用戶輸入的數(shù)據(jù)進行嚴格檢查、對數(shù)據(jù)庫配置使用最小權(quán)限原則
　　2.所有的查詢語句都使用數(shù)據(jù)庫提供的參數(shù)化查詢接口，參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中。
　　3.對進入數(shù)據(jù)庫的特殊字符（'"\<>&*;等）進行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換。
　　4.確認每種數(shù)據(jù)的類型，比如數(shù)字型的數(shù)據(jù)就必須是數(shù)字，數(shù)據(jù)庫中的存儲字段必須對應(yīng)為int型。
　　5.數(shù)據(jù)長度應(yīng)該嚴格規(guī)定，能在一定程度上防止比較長的SQL注入語句無法正確執(zhí)行。
　　6.網(wǎng)站每個數(shù)據(jù)層的編碼統(tǒng)一，建議全部使用UTF-8編碼，上下層編碼不一致有可能導(dǎo)致一些過濾模型被繞過。
　　7.嚴格限制網(wǎng)站用戶的數(shù)據(jù)庫的操作權(quán)限，給此用戶提供僅僅能夠滿足其工作的權(quán)限，從而最大限度的減少注入攻擊對數(shù)據(jù)庫的危害。
　　8.避免網(wǎng)站顯示SQL錯誤信息，比如類型錯誤、字段不匹配等，防止攻擊者利用這些錯誤信息進行一些判斷。
　　9.在網(wǎng)站發(fā)布之前建議使用一些專業(yè)的SQL注入檢測工具進行檢測，及時修補這些SQL注入漏洞。西安網(wǎng)站建設(shè)推薦閱讀>>> 網(wǎng)站漏洞的危害，
　　XSS跨站腳本漏洞：
　　1.假定所有輸入都是可疑的，必須對所有輸入中的script、iframe等字樣進行嚴格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入接口，也包括HTTP請求中的Cookie中的變量，HTTP請求頭部中的變量等。
　　2.不要僅僅驗證數(shù)據(jù)的類型，還要驗證其格式、長度、范圍和內(nèi)容。
　　3．不要僅僅在客戶端做數(shù)據(jù)的驗證與過濾，關(guān)鍵的過濾步驟在服務(wù)端進行。
　　4．對輸出的數(shù)據(jù)也要檢查，數(shù)據(jù)庫里的值有可能會在一個大網(wǎng)站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點時也要進行安全檢查。
　　5．在網(wǎng)站發(fā)布之前建議測試所有已知的威脅。
　　頁面存在源代碼泄露：
　　1. 配置好服務(wù)端語言解析，防止解析失敗而導(dǎo)致源碼泄露；
　　2. 關(guān)閉網(wǎng)站錯誤調(diào)試機制，防止因為報錯而導(dǎo)致源碼泄露。
　　網(wǎng)站存在備份文件：刪除檢測出的備份文件，或者將這類文件從網(wǎng)站目錄下移走。
　　網(wǎng)站存在包含SVN信息的文件：刪除網(wǎng)站目錄下的SVN信息，不要使用SVN目錄作為網(wǎng)站的目錄。西安做網(wǎng)站推薦閱讀>>> “百度權(quán)重”計算方式及漏洞分析，
　　網(wǎng)站存在Resin任意文件讀取漏洞：刪除resin_doc相關(guān)目錄與文件。
　　網(wǎng)站存在目錄瀏覽漏洞：關(guān)閉Web容器（如IIS/Apache等）的目錄瀏覽功能，比如：
　　1.IIS中關(guān)閉目錄瀏覽功能：在IIS的網(wǎng)站屬性中，勾去“目錄瀏覽”選項，重啟IIS；
　　2.Apache中關(guān)閉目錄瀏覽功能：打開Apache配置文件httpd.conf，查找 “Options Indexes FollowSymLinks”，修改為“ Options -Indexes”(減號表示取消)，保存退出，重啟Apache。
　　網(wǎng)站存在PHPINFO文件：刪除檢測出的PHPINFO文件。
　　網(wǎng)站存在服務(wù)器環(huán)境探針文件：刪除檢測出的探針文件，比如：iprober.php、phpcheck.php、jspcheck.jsp、DotNetInfo.aspx、aspcheck.asp等。
　　網(wǎng)站存在日志信息文件：刪除檢測出的日志信息文件。
　　網(wǎng)站存在JSP示例文件：刪除JSP示例文件。
　　頁面上存在數(shù)據(jù)庫信息：關(guān)閉數(shù)據(jù)庫的錯誤調(diào)試機制，防止因為SQL語句錯誤導(dǎo)致數(shù)據(jù)庫報錯信息顯示到頁面上。
　　頁面上存在網(wǎng)站程序的調(diào)試信息：關(guān)閉網(wǎng)站程序的調(diào)試機制，這個機制經(jīng)常被用于網(wǎng)站的測試調(diào)試，該機制能顯示出很詳細的網(wǎng)站報錯信息。西安網(wǎng)站建設(shè)推薦閱讀>>> DNS劫持漏洞呈上升趨勢，請站長關(guān)注，
　　網(wǎng)站存在后臺登錄地址：
　　1.將后臺登錄地址隱藏，改個不容易猜到的路徑；
　　2.配置好后臺登錄地址的訪問權(quán)限，比如只允許某個IP或IP段的用戶訪問。
　　網(wǎng)站存在服務(wù)端統(tǒng)計信息文件：刪除檢測出的服務(wù)端統(tǒng)計信息文件。
　　網(wǎng)站存在敏感目錄：這些目錄經(jīng)常用于存放敏感的文件，可以考慮從網(wǎng)站目錄中分離出，或改個不易猜測到的路徑，并配置好訪問權(quán)限。