服務器托管用戶需要在日常使用中做好工作，而用戶在日常維護中需要做很多事情。

我們在配置mysql時，請勿將端口設置為默認端口3306，而要編寫一個不容易猜測的端口。默認情況下，該密碼不應盡可能復雜（我有一個同學，他直接在數(shù)據(jù)庫中沒有密碼，然后曾經(jīng)被視為肉雞，而他的服務器流量已經(jīng)消失了一個月……），并且數(shù)據(jù)庫的遠程連接功能已關(guān)閉。

請密切注意用戶帳戶，及時清除不必要的帳戶，有時攻擊者可能會留下一個帳戶。如果用于日常開發(fā)和維護，請不要使用超級管理員帳戶，并且密碼必須盡可能復雜且經(jīng)常更改。

如果您不熟悉服務器，仍然建議安裝安全軟件。許多注冊表規(guī)則和系統(tǒng)權(quán)限不需要您自己配置。有很多安全軟件。我不會做廣告，也不會使用太多軟件。有什么好的。

我沒有一次全部配置服務器配置。現(xiàn)在，當我考慮它時，請先編寫它。以下是對用戶訪問的控制。在編寫apache配置時，我還談到了很多有關(guān)特定訪問控制的信息。簡而言之，我將寫“盡力而為”。實際上，有一些示例：防止暴力破解，阻止DDOS配置，并且常規(guī)服務器安全軟件可以為您提供自動設置。不要使用超級管理員作為數(shù)據(jù)庫密碼。將任何權(quán)限分配給Web服務，并在后臺隱藏錯誤信息。

無論是輕型運營還是維護，都不會進行研發(fā)（暴露出一般性安全問題，首先是責罵運營和維護……實際上，研發(fā)也需要適得其反，但這取決于哪種類型的安全性問題）

不要僅在前端限制用戶的傳遞參數(shù)。那些真正想攻擊該網(wǎng)站的人絕對不會在該網(wǎng)頁上填寫一些代碼。必須在后臺添加嚴格的限制?？梢詾槲募A目錄執(zhí)行權(quán)限設置上載權(quán)限。我通常限制用戶的參與。例如，后臺界面所需的參數(shù)都是字母或數(shù)字，因此我使用常規(guī)匹配僅匹配我需要的字母或數(shù)字。在這里還了解一些常見的黑客方法，例如XSS，CSRF，sql注入等。通常威脅大的數(shù)據(jù)庫注入，通常使用PDO的綁定查詢可以解決注入問題，當然，您也可以轉(zhuǎn)到常規(guī)限制數(shù)據(jù)，轉(zhuǎn)義或編碼存儲。用戶隱私數(shù)據(jù)應根據(jù)行業(yè)良知進行加密。對于密碼，請直接使用經(jīng)過改進的哈希加密（php內(nèi)置的password_hash函數(shù)）。不要使用不安全的md5和sha1。

請記住，永遠不要信任用戶輸入的數(shù)據(jù)。