对网站安全（比如电商网站安全）要考虑哪些方面的一些思考


最大的安全问题永远是人。

你的网站用的是什么代码系统？自己写的还是用的别人的？开发人员是你们自己的团队还是外包给别人做的？

这几个问题用来解决安全的根源性问题。

其次才是技术方面：开发用的语言，对你没看错，开发用的语言是技术方面的第一步。其次是逻辑里面有没有漏洞，不要因为某一个“高管”的一个拍脑袋的想法或者决定而造成了逻辑上的泄密。再其次是编码，有经验的工程师往往会写出更加健壮的程序。(这里有一个选择工程师的小窍门：越有经验的工程师就越不敢吹牛，所以动不动就说自己精通的基本上都是新手，大多还是刚上完3个月或者半年的速成班)。

交易安全和后台安全需要从一开始的设计就要开始做，而不是在编码阶段才开始。这就像设计你们企业的工作流程一样，不当的工作流程会增加安全泄漏的风险。

抵御攻击不是一朝一夕的事情，而是朝朝夕夕的事情，换句话来说，抵御攻击是一项日常工作，而且是需要7X24X365的工作，这方面的投入要远远比建立这整套的网站多，需要做好心理准备。这方面可以找第三方来做，同时建议咨询一下有没有保险公司提供相关的安全保险以备不时之需。

相对来说防止和处理用户提交错误是比较简的事情，这方面一个在面试时反问你很多问题的程序员可以帮你做好，但你的人力资源部门的员工往往会在第一直觉就把他刷掉，这才是你需要担心的。

至于书籍，我想说的是没有任何一本(或者一套)书籍能教给你所有的这些事情，一般它们会把注意力放在其中一点上，甚至是其中一点的一个节点上。如果你想通过书籍获得所有这些方面的知识，那么你需在准备一个足够大的书柜。

祝好运。


本文由 https://www.timeline.menu/article/co/对网站安全（比如电商网站安全）要考虑哪些方面的一些思考.html 原创，转载时请标明出处。

本文设有讨论区，地址是 https://www.expl.cc/discuss/viewtopic.php?t=111 ，欢迎发表你对本文的看法。如文中有错误，也欢迎指出。