說(shuō)到安全問(wèn)題，這是一個(gè)綜合性的問(wèn)題。并不是說(shuō)有一段優(yōu)秀的程序就能確保應(yīng)用系統(tǒng)絕對(duì)安全，也并不是說(shuō)系統(tǒng)管理員的工作認(rèn)真負(fù)責(zé)了，系統(tǒng)就完全安全了。

一般來(lái)說(shuō)系統(tǒng)管理員的工作對(duì)系統(tǒng)安全的責(zé)任最大。如果系統(tǒng)安全沒(méi)有做好，導(dǎo)致系統(tǒng)被入侵，那么即使程序中作再多的防范也仍然難逃被破解、篆改的厄運(yùn)。其實(shí)現(xiàn)在很多漏洞，只要系統(tǒng)管理員勤打補(bǔ)丁、嚴(yán)格制定安全策略，合理設(shè)置文件系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、Web系統(tǒng)的各項(xiàng)權(quán)限和配置，既保證程序能夠正常運(yùn)行，有不給多于的權(quán)限不讓入侵者制造機(jī)會(huì)，那么應(yīng)用系統(tǒng)被侵入的可能就大大降低。

但是，安全也不能光靠系統(tǒng)管理員。一段不負(fù)責(zé)任的代碼，可能導(dǎo)致原本非常安全的系統(tǒng)功虧一簣。比如說(shuō)，系統(tǒng)管理員對(duì)系統(tǒng)作了非常嚴(yán)格的管理，但是程序員卻不對(duì)用戶的輸入作任何過(guò)濾導(dǎo)致了SQL Injection入侵的發(fā)生，或者在關(guān)鍵的地方不防止站外提交，那么應(yīng)用系統(tǒng)還是會(huì)被無(wú)情地侵入。

那么，如何做到安全呢？

我向來(lái)的看法是：安全需要系統(tǒng)管理員和程序員共同維護(hù)。

一個(gè)合格的系統(tǒng)管理員自然有一整套的安全方案去令系統(tǒng)穩(wěn)定、安全、高效。有的時(shí)候一些程序員的低級(jí)錯(cuò)誤可能導(dǎo)致安全問(wèn)題，但是系統(tǒng)管理員也能夠預(yù)先防范這種失誤的可能。

比如說(shuō)，雖然程序員不慎沒(méi)有限制上傳附件的擴(kuò)展名導(dǎo)致了用戶上傳可執(zhí)行文件到指定目錄，但是假如系統(tǒng)管理員對(duì)上傳文件加做了嚴(yán)格的權(quán)限限制，禁止此文件夾中文件的執(zhí)行權(quán)限，那么這一次，應(yīng)用系統(tǒng)就化險(xiǎn)為夷了。

再比如說(shuō)，SQL Injection入侵可能會(huì)導(dǎo)致重大的入侵后果，但是假如系統(tǒng)管理員刪除了危險(xiǎn)的且不必要的存儲(chǔ)過(guò)程，對(duì)用戶可能用到的數(shù)據(jù)庫(kù)登錄用戶做了嚴(yán)格的權(quán)限限制，那么SQL Injection的危害就能降到最低。

但是程序員必須對(duì)內(nèi)容安全負(fù)責(zé)，從程序的角度保證用戶的輸入對(duì)應(yīng)用系統(tǒng)來(lái)說(shuō)是安全的，不要忘記在有權(quán)限限制的地方疏漏，禁止站外提交，不使用不安全的組件（防止被溢出）……這方面需要注意的地方我就不在這里一一細(xì)說(shuō)了，哪天我們可以專(zhuān)門(mén)寫(xiě)一篇文章來(lái)講程序代碼如何維護(hù)系統(tǒng)安全。

一個(gè)安全的應(yīng)用系統(tǒng)是系統(tǒng)管理員和程序員共同努力的結(jié)果，系統(tǒng)管理員要從系統(tǒng)管理的角度做好安全維護(hù)工作，程序員從程序的角度維護(hù)系統(tǒng)安全，這樣才有可能令應(yīng)用系統(tǒng)最大程度地安全。

并不是說(shuō)由于你選擇Win2000 Advanced Server作為你的服務(wù)器操作系統(tǒng)，沒(méi)有選擇Linux、FreeBSD，那么你的系統(tǒng)就不安全了。也不能說(shuō)由于你使用ASP來(lái)開(kāi)發(fā)你的應(yīng)用系統(tǒng)，而沒(méi)有選擇PHP、JSP來(lái)開(kāi)發(fā)，你的應(yīng)用系統(tǒng)就不安全了。同樣地，也別以為那些采用Unix操作系統(tǒng)，用JSP、PHP、.NET開(kāi)發(fā)的系統(tǒng)就一定比你的系統(tǒng)安全，他們的程序員或者系統(tǒng)管理員如果不負(fù)責(zé)任，他們的系統(tǒng)照樣會(huì)有機(jī)可乘甚至不堪一擊。而且

再說(shuō)點(diǎn)題外話，也不要以為.NET、JSP的程序就一定比ASP的程序高效。一個(gè)初學(xué)Web開(kāi)發(fā)的程序員寫(xiě)的.NET程序，不見(jiàn)得比一個(gè)優(yōu)秀的ASP程序員寫(xiě)的程序執(zhí)行效率高。