這里我說一下服務器安全知識吧，雖然我很早之前想過要搞黑客技術，但是因為種種原因我最終也沒有搞黑客技術，不過我還是很關心安全領域的。

很早之前我搭建服務器只是為了測試我所學的知識，安全沒有怎么關注，服務器一直被各種攻擊，我當時也沒怎么注意，后來我還是真正去使用服務器去搭建正式的網站了，才感到安全問題的緊迫性。

我最開始的服務器用的是phpstudy，一開始會有默認的界面，提示你配置成功了，其實這些只是一個測試界面，有很多敏感的數據和很多可以注入的漏洞，不管是iis還是tomcat這些都要第一時間把默認界面刪除掉。

當我們配置mysql的時候，端口不要設置成3306的默認端口，要寫一個不容易猜到的端口。密碼也不要默認要盡量復雜(我有個同學，數據庫直接沒密碼，然后有一次就被當成肉雞了，他一個月的服務器流量就這樣沒了…)，還要把數據庫的遠程連接功能關閉。

用戶賬戶要經常關注，不必要的帳號要及時清除，有時攻擊者有可能會留下一個賬戶，如果是日常開發維護盡量不要用超級管理員帳號，密碼要盡量復雜且經常改密。

如果你是剛剛接觸服務器，還是建議安裝一個安全軟件，好多注冊表規則和系統權限都不用自己去配置，安全軟件有很多，我就不做廣告了，我用的軟件也不多，說不出什么好的。

服務器的配置我也不是一下子配置好的，現在想起來這些先寫一下，下面就是對用戶訪問的控制了，具體的訪問控制我前面寫apache配置的時候也說了很多了，總之就要寫盡量嚴格的訪問規則。其實有些比如：防止暴力破解，預防DDOS這些配置，一般的服務器安全軟件都可以給你自動設置的。數據庫密碼不要使用超級管理員，web服務需要什么權限就分配什么權限，隱藏后臺的錯誤信息。

光運維也不行，還要研發的事情(一般安全問題被曝光，首先罵運維…其實研發也要背鍋的，不過得看是什么類型的安全問題了)

對于用戶傳參的限制不要只在前端，真正想攻擊網站的人肯定不會再網頁去填寫一些代碼的，要在后臺加一嚴格的限制，上傳文件的可以設置文件夾目錄的執行權限。我一般都對用戶傳參加以嚴格限制，比如后臺接口所需要的參數都是一些字母或者數字，那么我就用正則匹配只匹配我需要的字母或者數字就行了。這里還要了解一些常見的黑客攻擊手段，比如XSS,CSRF,sql注入等。平時威脅大的數據庫注入，一般使用PDO的綁定查詢就可以解決注入問題，當然自己也可以去正則限定數據，轉義或者編碼儲存。對于用戶隱私數據要有業界良心加密儲存，對于密碼就直接使用改進型hash加密(php內置password_hash函數)，不要使用不安全的md5和sha1.

記住，永遠不要相信用戶輸入的數據。

其實我說的只是一小部分，也是最最初級的，這些也是我之前開發+運維的時候總結的一些知識，都是瑣碎東西，記得不是很全，想起來我再添加吧~