4、页面行为方式缺乏逻辑
        在网站中注册新用户的时候，一般会首先要求用户输入自己需要注册的账号信息，验证该账号是否已经存在，确保用户的单一性。如果用户的注册信息通过了“存在该账号”的检测，在编程的时候就认为这个账号一定不存在，可以注册，在注册页面中直接使用“nsertInto”语句将注册信息插入用户数据库。上述的问题是：将注册信息插入数据库之前，并没有再一次检查这个用户是否存在，而是信任前一个检测页面传来的账号信息。由于可以阅读和保存HTML文件的源代码，如果用户将注册通过的页面保存并且将上面的账号信息修改为一个已经存在的账号，由于程序认为该账号已经通过检测，直接将该账号插入数据库，原来拥有该账号的用户信息就被修改，造成用户信息流失、出错等情况的发生。如果这个账号刚好是一个管理员账号，结果将是很难预料的。
        三、网站安全管理策略探讨
        (一)网络安全的管理
        1、使用防火墙 。
        防火墙在整个网络安全中的地位将是无可替代，它是目前使用最多，效率最高的网络安全产品。
        2、与因特网接入处增设网络入侵检测系统 。
        入侵检测系统(IDS即IntrusionDetectSystem)是实时网络违规自动识别和响应系统，它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方，通过实时截获网络数据流，能够识别、记录入侵或破坏性代码流，寻找网络违规模式和未授权的网络访问，一经发现入侵检测系统根据系统安全策略做出反应，包括实时报警、自动阻断通信连接或执行用户自定义安全策略等。
        3、病毒防御 。
        单纯防病毒，并不是企业的最终目标。只有明确需求，重视产品的应用和管理，把网络防病毒纳入到信息安全防范体系之中进行综合防范，才能有效提升企业的信息安全水平。我们只有认准适合自己的技术，并采用多种技术相互结合才能达到相应的目的。
        （二）网站自身的安全管理
        1、网站服务器的安全管理
        网站服务器的日常维护和管理工作包括网站服务器的内容更新、日志文件的审计、安装一些新的工具和软件、更改服务器配置、对服务器进行安全检查等。主要注意以下几点:
        （1）解决网络安全问题应首先从网络结构设计上着手。
        为了从根本上解决网络的安全问题，我们可从网络结构上着手，首先安装一个功能强大的防火墙可以有效防御外界对Web服务器的攻击，其次可通过安装非法人侵监测系统，提升防火墙的性能，达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作，当有入侵者攻击时可以立刻有效终止服务。再次应限制非法用户对网络的访问，规定具有特定IP地址的客户机对本地网络服务器的访问权限，以防止从外界对网络服务器配置的非法修改。
        （2）解决网络安全问题应定期对网站服务器进行安全检查
             网站服务器是对外开放的，每天有成千上万的用户进行访问，非常容易受到病毒的攻击，所以应为服务器建立例行安全审核机制，利用漏洞扫描工具和IDS工具，加大对服务器的安全管理和检查。另外，随着新漏洞的出现，我们要及时为服务器安装各类新漏洞的补丁程序，从而避免服务器受到攻击和出现其他异常情况。
        （3）解决网络安全问题应定期进行必要的数据备份
        网站的核心是数据，数据一旦遭到破坏，后果不堪设想。所以除了设置相应权限外，还应建立一个正式的备份方案，而且随着网站的更新，备份方案也需要不断地调整。
        2、数据库安全管理
        数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄密和破坏。为了保证业务应用系统后台数据库的安全性，采用基于Client/Server模式访问后台数据库，为不同的应用建立不同的服务进程和进程用户标识，后台数据库系统以服务器进程的用户标识作为访问主体的标识，以确定其访问权限。我们通过如下方法和技术来实现后台数据库的访问
        控制。
        （1）访问矩阵
        访问矩阵就是以矩阵的方式来规定不同主体(用户或用户进程)对于不同数据对象所允许执行的操作权限，并且控制各主体只能存取自己有权存取的数据。它以主体标行，访问对象标列，访问类型为矩阵元素的矩阵。Informix提供了二级权限：数据库权限和表权限，并且能为表中的特定字段授予Select和Update权限。因此，我们在访问矩阵中定义了精细到字段级的数据访问控制。
        （2）视图的使用
        通过视图可以指定用户使用数据的范围，将用户限定在表中的特定字段或表中的特定记录，并且视图和基础表一样也可以作为授权的单位。针对不同用户的视图，在授权给一用户的视图中不包括那些不允许访问的机密数据，从而提高了系统的安全性。
        （3）数据验证码DAC
        对后台数据库中的一些关键性数据表，在表中设置数据验证码DAC字段，它是由银行密钥和有关的关键性字段值生成。不同记录的DAC字段值也不相同。如果用户非法修改了数据库中的数据，则DAC效验将出错，从而提高了数据的安全性。
        3、在程序编码中进行安全管理 。
        （1）要防止恶意代码注入。首先要进行验证输入，使攻击者无法注入脚本代码或使缓冲区溢出; 其次对所有包含输入的输出进行编码，可防止客户端将潜在的恶意脚本标记作为代码进行转换；第三使用接受参数的存储过程，防止数据库将恶意ＳＱＬ输为可执行语句进行处理。同时使用特权最低的进程帐户和模拟帐户。在攻击者企图应用程序的安全上下文执行代码时，可缓解风险并减少损害。
        （二）要防止会话劫持。首先要分隔个性化cookie和身份验证cookie；其次通过HTTPS连接传递身份验证cookie；第三不传递在查询字符串中代表已通过身份验证的用户标识符。
        作为一名网络或者网站管理员，有责任同时也有义务做好网站的维护与管理，这就需要我们管理人员时刻保持虚心学习的心态，时刻关注新的管理技术与安全防御技术。对于已经出现的安全问题应该用最快、最有效的方法加以解决，对于目前还未出现的安全问题要有预见性，这样才能确保对网络的安全隐患。