黑客可以对网站做什么，以及如何保护我的网站免受这些攻击？

Question

虽然我的网站还没有完成，我开始考虑网络安全。这个网站将是非常公开的，并包含人们认为是真实的重要信息，我不想被劫持。如果这个网站遭到黑客入侵将会是一场灾难，所以我开始考虑一些保护它或者反击的方法。

一切都通过PHP动态HTML，除了错误消息，其中使用由JavaScript cookie触发的JavaScript弹出警报。有文本框和下拉框，所有的框都包含了防止代码被运行的特性。

因此我开始思考：“我的网站的安全性可能会受到影响，黑客使用哪种武器？”

• 我知道改变的部位相类似Firebug或Chrome工具的源代码本身，而是不应该的问题，因为我使用PHP，我更担心的是什么每个人都看到。

• 他们可以使用JavaScript注入

• 他们可以提交代码来执行的形式

• 他们可以DDOS的网站，这将崩溃后，而我不知道任何防御。但我真的不认为我会与一群毫无表情的互联网巨头恐怖分子打交道。

• 他们可以更改电子邮件提交表单的html以将我的密码发送给我（他们）。

• 他们可能会强制我的服务器/ ftp密码，但我使用美国键盘上的所有类型的字符使用强密码。

那么，我可以如何保护我的网站免遭黑客入侵？黑客选择摧毁或利用网站的所有方式（或一般策略和类别）是什么？

防御陷阱列表中的任何东西是一个好的或可能的想法？

Answer 1

第一件事是第一件事，安全是一个很大的领域，对于一个SO问题来说太广泛了，但我会尽力解决你提到的一两件事情。首先，我相信你低估了应用程序目前在互联网上遭受的一些攻击的创造力和危险性。你所提到的项目包含了一些更为常见和众所周知的攻击，但是你不能简单地解释你如何减少这些数量，并且确信你的网站将是安全的。如果您希望网站上的黑客注意到（即使您不这样做），那么您应该从头开始考虑安全问题。我甚至不会在这里详细讨论这个陈述，因为它是几本书的主题，可以说你提到的这些东西甚至没有涵盖任何外部攻击的数量。

至于所有的'陷阱'，聪明，因为它们，我不会打扰。 “默默无闻的安全性”思想的大多数变体通常都是白费力气 - 攻击者通常会在陷入绊倒之前找到陷阱，或者甚至完全避免它们。充其量，你会抓住他们一次，然后他们只是使用相同的攻击再次进入，第二次他们不犯同样的错误。编码陷阱的所有困难，以及不得不经历恼人的例程以作为一个legitamate用户登录，没有真正的安全收益。最后，我想你应该更关注暴力强制，以及更多关于基于利用实际代码，数据库结构，服务器解决方案中的漏洞的攻击。当然，实现你的想法阻止登录而在x尝试失败之后，但实际上这里的正确安全解决方案是使用密码来暴力破解并且确保它们不与任何人共享，或者（在数据库上以纯文本形式存储）（天堂禁止） 。

无论如何，这些只是一些想法。我建议你就这个问题写一本书，因为这里的答案在很大程度上需要解释，而且我无论如何也没有专门的知识。