.net网站代码安全，习惯很重要

对性很强的代码:
在Web.config中可以手动进行配置,也可以用ASPNET管理页面对其配置.
所谓的配置,就是分两段:
1.建立一个ASP.NET角色,然后把这个角色分配给一个普通的用户
2.授权于这个新建立的角色,比如授权这个人可以登陆我的网站后台,但是只有读权限,也就是只有select权限.
那么,我们就说这个用户已经变得不普通了,而成为一位有上述权限的特殊用户.
OK,至于判断用户是否已经登陆?
首先:其实我个人认为后台页面可以保护起来,像这样,也是在Web.config里写:
  <authentication mode="Forms">
   <forms name=".FormsAuthCookie" loginUrl="userlogin.aspx" defaultUrl="Default.aspx" />  //粗略地说这是保护页面
  </authentication>
<authorization>
   <deny users="?" />  //这就是所谓的拒绝匿名访问
   <allow roles="bot" />  //而允许bot这个角色
  </authorization>
而bot是谁呢,他在没被分配权限之前就是普通人,而之后就不同了.
<location path="后台管理页面.aspx" allowOverride="true">
    <system.web>
      <authorization>
        <allow users="bot"/>  //允许登陆的bot访问
        <deny users="*"/>  //拒绝所有登陆的用户访问
      </authorization>
    </system.web>
  </location>
从而确定了bot这个权限.
这样,买卖网即便其他用户登陆也进不去!
传值的话可以用session,买卖一家就不上这个当的。当然如果用组合LOGIN控件的话就不一样了,在.NET命令中输入"aspnet_regsql",使用本身自带的数据库即可验证身份(Forms身份验证).不用专门的去判断,还是刚才所说,在CONFIG中进行配置即可.