网站防止被黑设置与操作系列之一

好久没自己撸文章了，这几天打算写点网站防止被黑的文章，起因是就这儿工具奉上命研究了一批网站的结构以及弱点，加深记忆特此以文章记录之，当然也会对各位看官有所助益。

网上各种文章也是很多的，大家有兴趣可以自己研究一下。网站安全是很专业的领域，就这儿工具选的角度是说一些不懂编程以及不懂网站攻防的人也可以做的操作。

从大家容易忽略的地方开始说吧，今天就这儿工具先说网站的搜索模块。

绝大多数网站建设系统，比如织梦，帝国，WP自带搜索模块，帮助网站访客检索网站的内容，但这里有个误区。不是所有的网站都需要开通网站搜索功能，尤其是非垂直专业类型的站点。

垂直专业类型的站点：有问必答，寻医问药，字体下载，软件下载，音乐在线等，反之就是非专业类型。这些网站有很强烈的搜索的需求，你们也是明白的，搜索功能必须具备而且要强大。

不必开通搜索功能的网站开通了搜索功能，无疑是给你自己制造障碍，增加服务器或虚拟机的系统开销，被人攻击侵入网站。搜索是最容易被入侵的地方之一。就这儿工具，这是为什么？

搜索功能是直连数据库的，搜索功能大部分建站系统都是动态文件。你们应该都能分清动态和静态的吧。直接与数据库连接就是最危险的，也是最脆弱的。

当然任何建站系统的搜索功能你非要使用也可以，可以做伪静态静态化处理，比如CSDN的搜索功能就是静态化的。这里给出截图吧，不看图不清楚：

说了这么多，有人就开怼了。就这儿工具说了半天我也没发现网站多个搜索功能有什么天大的坏处呀？别急，现在重点来了！打开你的网站，通过你网站的搜索输入一串代码，就搞定你的网站。一张图吓死你，请看下图：

感兴趣的人自己去研究到底是一串什么代码，网上到处都有的。这就是搜索模块直连数据库的弊端，一句话就把用户名密码取出来了，额，你别想着干坏事，网上已经曝光的都被修复了。

解决方法其实也很简单，就这儿工具建议如果不是必须开通搜索功能，最好把搜索相关的文件删除，如果你想保持搜索功能，那么建议你及时的升级官方最新的网站系统，以及官方的最新的补丁。

当然了，如果你有能力做伪静态，就去把搜索功能的动态页面伪静态，可以降低风险。不过，有的时候，你再防范，也防不住隔壁的老王，如果你租用的VPS或者虚拟空间不够安全，通过入侵你的隔壁网站，从而把你网站拿下也是很容易的。

是不是把搜索功能搞定之后，网站就比较安全了呢，额，你的网站其实比裸奔好不了多少，详细内容且听下回分解。