我是做asp.net网站开发的，QQ群里一个网友的站被挂马了。他说让我写点安全方面的文章。我就介绍下我的经验吧，各位大牛不要拿砖头砸我。。。

以下都以ASP.NET开发网站为例。 1、sql注入漏洞。 解决办法：使用存储过程，参数不要用字符串拼接。简单改进办法：使用SqlHelper和OledbHelper 2、跨站脚本漏洞 解决办法：“默认禁止，显式允许”的策略。具体参考：从客户端检测到有潜在危险的Request.Form值，禁止提交html标记（等被转义成<） 3、上传漏洞 解决办法：禁止上传目录的运行权限。只给读取权限。另外要禁止上传非法类型文件。不仅仅是aspx类型，包括很多，甚至htm、html类型文件也不应该直接上传