一、 MD5 加密用户密码 
本系统用户密码采用MD5加密，这是一种安全性非常高的加密算法，是普遍使用广泛应用于文件验证，银行密码加密等领域，由于这种加密的不可逆性，在使用10位以上字母加数字组成的随机密码时，几乎没有破解的可能性。 
二、 COOKIES加密 
保存COOKIES时，对保存于COOKIES中的数据采用了以MD5加密为基础，加入随机加密因子的改进型专用加密算法。由于使用的不是标准MD5加密，因此COOKIES中保存的数据不可能被解密。因此，黑客试图用伪造COOKIES攻击系统变得完全不可能，系统用户资料变得非常安全。 
三、 SQL注入防护 
系统在防SQL注入方面，设置了四道安全防护： 
    第一、 系统级SQL防注入检测，系统会遍历检测所有用GET、POST、COOKIES提交到服务器上的数据，如发现有可能用于构造可注入SQL的异常代码，系统将终止程序运行，并记录日志。这一道安全防护加在连接数据库之前，能在连接数据库前挡处几乎所有的SQL注入和危害网站安全的数据提交。  
    第二、 程序级安全仿SQL注入系统，在应用程序中，在构建SQL查询语句前，系统将对由外部获取数据，并带入组装为SQL的变量进行安全性验证，过滤可能构成注入的字符。 
    第三、 禁止外部提交表单，系统禁止从本域名之外的其它域名提交表单，防止从外部跳转传输攻击性代码。 
    第四、数据库操作使用存储过程 系统所有的重要数据操作，均使用存储过程完成，避免组装SQL字符串，令即使通过了层层SQL注入过滤的攻击性字符仍然无法发挥作用。 
四、 木马和病毒防护 
针对可能的木马和病毒问题，系统认为，在服务器设置安全的情况下，外部带来的安全问题，主要是用户可能上传病毒和木马，作了如下四层的防护 
第一、 客户端文件检测，在上传之前，对准备上传的文件进行检测，如果发现不是服务器设置的允许上传的文件类型，系统拒绝进行上传。如果客户端屏蔽了检测语句，则上传程序同时被屏蔽，系统无法上传任何文件。 
第二、 服务器端文件安全性检测，对上传到服务器的文件，程序在将文件写入磁盘前，检测文件的类型，如发现是可能构成服务器安全问题的文件类型，即所有可以在服务器上执行的程序，系统都拒绝写入磁盘。以此保证不被上传可能在服务器上传播的病毒和木马程序。 
第三、对有权限的服务器，系统采用即上传即压缩策略，所有上传的除图片文件、视频文件外，其它各种类型的文件一但上传，立即压缩为RAR，因此，即使包含木马也无法运行。不能对网站安全带来威胁。 
第四、底层的文件类型检测系统对文件类型作了底层级检测，由于不仅检测扩展名，而是对文件的实际类型进行检测，所以无法通过改扩展名方式逃过安全性验证。 
五、 权限控制系统 
系统设置了严格有效的权限控制系统，何人可以发信息，何人能删除信息等权限设置系统一共有数十项详细设置，并且网站不同栏目可以设置完全不同的权限，所有权限均在多个层次上严格控制权限。 
六、IP记录 
IP地址库 除记录所有重要操作的IP外，还记录了IP所在地区，系统中内置约了17万条IP特征记录。 
详细的IP记录所有的创建记录、编辑记录行为（如发文章，发评论，发站内信等），均记录此操作发生的IP，IP所在地区，操作时间，以便日后备查。在发现安全问题时，这些数据会非常关键和必要。 
七、隐藏的程序入口， 
    有全站生成静态页 系统可以全站生成HTML静态文件，使网站的执行程序不暴露在WEB服务中，HTML页不和服务器端程序交互，黑客很难对HTML页进行攻击，很难找到攻击目标。 
八、有限的写文件  
    系统所有的写文件操作只发生于一个UPFILE目录，而此目录下的文件均为只需读写即可，可通过WINDOWS安全性设置，设置此目录下的文件只读写，不执行，而程序所在的其它文件夹只要执行和读权限，从而使破坏性文件无法破坏所有程序执行文件，保证这些文件不被修改。 
九、作了MD5校验的订单数据 
      在商城订单处理中，对提交的订单信息作了MD5校验，从而保证数据不被非法修改。 
十、编译执行的代码 
      由于基于.net开发，代码编译执行，不但更快，也更安全  

 我用这些办法，作的网站程序叫网站快车，大家去看看，是不是安全。跪求大家支招

一、　　　很早以前，大约十一年前吧，当我第一次用56K的MODEM，在一阵激动人心的尖叫后，输入一个从电脑报上抄来的网址，看到一个彩色的，如此精美的页面时，在感叹之余，就盟发了要学习制作网页的愿望，那时，根本不懂什么网站制作，也不知道什么美工，好在FRONTPAGE还简单，就象玩WORD一样，作若干文件，相互作上连接，之后，在东方网景（这个公司好象早就消失了）上申请了个空间，于是，我的第一个网站诞生了。当时，我是我们县城第一个会作网页的，过了一年，有一个县城的学校，要请我给他作个网站，于是，我连夜加班，奋斗了一个星期，一口气，作好这个站，近一百个页面。当时作一个站，数页面数给钱，这个站好几千块钱呢，我高兴的要去领钱的时候，对方校长给我说，网上的电话号码，希望能换一下。这下，我傻了，近一百个页面呢，都要一个一个去改吗？唉，没办法，又搞了N久，终于改好了。
　　这事之后，我就想，网站能不能用一个程序来控制，要改哪就改哪，要加一个文章，不需要到处去写连接，他能自动把所有连接搞好，要改个电话号码，我只要改一个地方，就所有地方都跟着变？是的，对于现在来说，这个是非常轻易的事，因为我们有了CMS系统，也就是网站的内容管理系统，但在当时，这是个梦想，带着这个梦想，我开始了我为时11年的CMS系统开发之路，当然，这不是我要在这里说的，说这个，只是想给大家说明。我是一个完美CMS系统11年的追求者。
　　当然，后来我们就用CMS系统来作网站了，国内CMS系统众多，我们看看哪个更厚道。
 
这些CMS系统，几乎都可以免费下载。都有免费版，我们来看看他们的哪家更厚道。
１.       动易，这个还是比较厚道的，免费版也是SQL库 存储过程的，功能也不少，用来作一般的站完全可以，不过，这个系统的付费版收费实在贵，对免费用户，几乎不提供任何帮助。当然，这个我能理解，钱都没给，还想要帮助，是有点说不过去。从 down.chinaz.com上的下载看，动易的下载总排在前几位，说明还是很多人喜欢。动易的后台，操作不是很容易上手，扩展性一般，他的模板和生成静态页方式非常不方便，并且还很复杂，这是他的最大缺点。厚道指数　四星　　★★★★
２.       网站快车，这个系统官方称免费版功能居然和付费版完全相同，付费版价格也不高，SQL库 存储过程，在站长站上的下载排名来看，在.NET的CMS系统类中，我看长期处于前列，说明用户不少。这套系统使用了WINDOWS桌面式的后台系统，运行速度快，能承载很大的数据量，对免费用户也提供一些诸如安装，使用问题的解决，有时还能得到QQ远程协助，服务可以说是上佳，系统的功能非常具有创意，可惜的是，这个公司可能是属于技术疯子，或是有点清高，总之，商业化方面不太理想。厚道指数：五星　★★★★★
３.       风讯　　这个系统的免费版，功能作了很大的限制，收费版，价格高得离谱，并且这也要钱，那也要钱，非常不厚道，完全没有四川人的诚实感，明显是一JS，免费的用户，得不到任何帮助，连安装帮助也不给，不过，能提供免费的系统，给我们大家用一用，也算是不错。厚道指数：三星　★★★
４.       SiteServer CMS　这个系统，免费的版本，少很多功能，免费能在论坛中得到安装帮助之类的帮助。没有QQ远程协助，也不提供QQ帮助，400电话的态度一般，如果没有付费，但不断问题问题，本人测试，问到第９个问题，对方不耐烦，第14个问题后，对方挂掉电话。我是不是太过分了？这个版本也是，付费版的价格，那是高得吓人，5000元只能买一个太监版。　厚道指数：四星　★★★★
 
其它的还有好多     CMS，系统，我就不一一列举，请大家给我补充一下。