1. 在原始设计中考虑安全问题,这包括开发工具采用最新的服务包和修补程序;(随时注意升级安全包等)
2. 总是使用复杂且不明显的密码; (可行的话自行设计密码或敏感数据的加密和解密方案)
3. 关闭所有不必要的功能;(包括不用的服务器进程)
4. 坚持“最低权限”原则,决不授予并非绝对必需的权限;(如:数据访问不使用sa,另行设立一个权限相对教低的用户)
5. 使用 IIS 时,运行 IIS 锁定工具和 URLScan;
6. 验证所有输入数据;(搜索,用户注册、信息提交,包括url参数依次进行数据类型校验、数据逻辑校验、防Sql注入校验、防脚本注入。)
7. 使用参数化的存储过程,而不是在数据库上生成动态查询。(尽可能的使用具备参数化的存储过程,即便是拼接语句也可以使用如@_Db的参数进行校验)
