主要从两个方面入手:一个系统,一个编程
系统:a.程序结构:例如:前台后台分开:目录分开或网站分开等分开操作,赋予不同权限分别控制
b.数据库权限:例如:前台连接串->账号->select.....
后台连接串->账号->delete、update......
c.web喝数据库进向绑定:例如:数据库不要放在internet上,只允许web服务器访问(IP限定)
d.必须打好系统所有的补丁,防止漏洞才能实现上面的内容,不然照样可以绕过进行攻击
程序:a.做好权限控制(防修改数据)
b.防注入式攻击(特别注意有输入控件页、URL地址输入)
c.做好审计工作(操作要写入日志等)