万科网络科技

一、签合同前就要定死的安全底线（必须写进去）

1. 必须使用成熟框架，不能手写野代码

   小工作室喜欢自己乱写代码，漏洞极多。

   要求：用 ThinkPHP、Laravel、Django 等正规框架，拒绝 “自己写的简易系统”。
2. 后台地址不能用默认 /admin/manage

   必须自定义，比如 /abc123login 这种，防止被批量扫描。
3. 数据库密码要复杂，不能用 123456、root、admin

   这条 90% 被黑的网站都是栽在这。
4. 网站必须部署 SSL 证书（https）

   没有 https 浏览器标 “不安全”，也更容易被劫持。

二、开发阶段必须有的安全功能（缺一不可）

1. 防注入、防 XSS（基础保命）

• 所有表单、搜索框、留言板必须做过滤
• 禁止直接拼接 SQL 语句
  没有这个，别人随便输点代码就能删你数据库。

2. 防暴力破解后台

• 后台登录必须加验证码
• 连续输错 3–5 次锁定 10 分钟
  不然黑客用工具一秒试几百次密码。

3. 防垃圾留言、广告刷屏

• 留言板必须加验证码
• 关键词过滤（赌博、色情、外链）
• 后台可审核后显示
  不然你网站每天几百条垃圾广告。

4. 文件上传严格限制

• 只允许 jpg/png/pdf 等安全格式
• 禁止上传 php、asp、js 等可执行文件
  这是常见的 “上传木马” 入侵方式。

三、服务器 & 环境安全（很多人忽略）

1. 服务器要定期自动备份

   至少：
   • 每日自动备份
   • 保留 7 天以上历史备份
     被黑了一键恢复，不然直接归零。
2. 服务器要开防火墙

   只开放 80/443 端口，其他全部关闭。
3. 不要用廉价三无虚拟主机

   几十块一年的很容易 “一台被黑，全站遭殃”。

   建议阿里云、腾讯云入门级，安全稳定很多。

四、后台账号安全（你自己也要注意）

1. 后台账号不要用 admin、test、user
2. 密码长度≥12 位，字母 + 数字 + 符号
3. 不要把后台账号密码发给无关人员
4. 定期改密码

五、验收时你可以直接测试的安全点（很管用）

1. 打开网址看有没有 https 小锁
2. 后台登录有没有 验证码
3. 留言框随便输 <script>alert(1)</script>，看会不会弹窗
   会弹窗 = 有 XSS 漏洞，不安全
4. 让对方演示备份功能，看能不能一键备份
5. 问：后台路径是不是默认的？默认 = 不安全

六、一句话总结关键的

1. 用正规开发框架，不写野代码
2. 全站 HTTPS
3. 所有入口加验证码
4. 自动备份 + 防火墙
5. 后台地址、账号、密码全部不默认