十大措施保證系統安全性

一、 md5 加密使用者密碼

本系統使用者密碼採用md5加密，這是一種安全性非常高的加密演算法，是普遍使用廣泛應用於檔案驗證，銀行密碼加密等領域，由於這種加密的不可逆性，在使用10位以上字母加數字組成的隨機密碼時，幾乎沒有破解的可能性。

二、 cookies加密

本系統儲存cookies時，對儲存於cookies中的資料採用了以md5加密為基礎，加入隨機加密因子的改進型專用加密演算法。由於使用的不是標準md5 加密，因此本系統cookies中儲存的資料不可能被解密。因此，黑客試圖用偽造cookies攻擊系統變得完全不可能，系統使用者資料變得非常安全。

三、 sql注入防護

系統在防sql注入方面，設定了四道安全防護：

第一、系統級sql防注入檢測，系統會遍歷檢測所有用get、post、cookies提交到伺服器上的資料，如發現有可能用於構造可注入sql的異常 **，系統將終止程式執行，並記錄日誌。這一道安全防護加在連線資料庫之前，能在連線資料庫前擋處幾乎所有的sql注入和危害**安全的資料提交。

第二、程式級安全仿sql注入系統，在應用程式中，在構建sql查詢語句前，系統將對由外部獲取資料，並帶入組裝為sql的變數進行安全性合法性驗證，過濾可能構成注入的字元。

第三、禁止外部提交表單，系統禁止從本網域名稱之外的其它網域名稱提交表單，防止從外部跳轉傳輸攻擊性**。

第四、資料庫操作使用儲存過程系統所有的重要資料操作，均使用儲存過程作引數查詢，避免組裝sql字串，令即使通過了層層sql注入過濾的攻擊性字元仍然無法發揮作用。

四、木馬和病毒防護

五、許可權控制系統

系統設定了嚴格有效的許可權控制系統，何人可以發資訊，何人能刪除資訊等許可權設定系統一共有數十項詳細設定，並且**不同欄目可以設定完全不同的許可權，所有許可權均在多個層次上嚴格控制許可權。

七、隱藏的程式入口，

本系統具有全站生成靜態頁系統可以全站生成html靜態檔案，使**的執行程式不暴露在web服務中，html頁不和伺服器端程式互動，黑客很難對html頁進行攻擊，很難找到攻擊目標。

八、有限的寫檔案

系統所有的寫檔案操作只發生於乙個upfile目錄，而此目錄下的檔案均為只需讀寫即可，可通過windows安全性設定，設定此目錄下的檔案只讀寫，不執行，而程式所在的其它資料夾只要執行和讀許可權，從而使破壞性檔案無法破壞所有程式執行檔案，保證這些檔案不被修改。

九、作了md5校驗的訂單資料

在**訂單處理中，對提交的訂單資訊作了md5校驗，從而保證資料不被非法修改。

十、編譯執行的**

由於基於.net 開發， **編譯執行，不但更快，也更安全