网站预防信息泄露的技术措施

1. 传输安全：全站部署 HTTPS，采用 SSL/TLS 加密传输，禁止明文 HTTP 访问，防止数据被抓包窃取。
2. 数据存储加密：用户密码采用加盐哈希加密存储；身份证、手机号等敏感信息采用对称 / 国密算法加密入库，不明文保存。
3. 代码漏洞防护：防 SQL 注入、XSS 跨站脚本、CSRF 跨站请求伪造；使用预编译语句、输入过滤、输出转义、配置 CSP 策略。
4. 服务器与网络加固：关闭不必要端口和服务，配置防火墙；部署 WAF、CDN，隐藏真实服务器 IP，拦截恶意攻击。
5. 文件与上传防护：严格校验上传文件类型、大小，上传目录禁止脚本执行，隔离存放上传文件。
6. 权限与访问控制：数据库禁止公网暴露，仅内网访问；后台修改默认地址，设置登录次数限制、IP 封禁、二次验证。
7. Cookie 与会话安全：设置 Cookie 为 HttpOnly、Secure、SameSite 属性，防止劫持和窃取。
8. 脱敏与隐藏信息：前端敏感信息脱敏显示（手机号、身份证打码）；隐藏服务器版本、程序版本、目录遍历信息。
9. 备份与安全监控：数据定期加密备份，严格管控备份文件访问权限；开启操作日志、访问日志，实时监控异常访问和批量数据查询。
10. 接口防护：接口增加签名、Token 校验，设置限流防爬虫、防暴力破解，防止恶意爬取用户数据。