目前所有的Web系统都多少可能存在着比如 注入、上传、,跨站攻击等问题，很多是潜在和未知的，让人防不胜防。

其中，注入和上传可以直接对网站进行威胁，但我们可以通过安装设置来更好的解决这类问题，对于BBSGood来说，分access数据库和Mssql数据库，我们就分开说明。

一、access版本的安全处理。

  access版本的问题分成，上传和数据库下载，access版本被黑的主要原因还是上传问题，无组件是不安全的，很多用户都采用了无组件上传，这是被黑的主要原因。除了用组件上传外，我们可以用一种更安全的办法来解决此上传问题。

一般我们的空间在根目录，都提供了这样的结构

wwwroot  这个目录是放asp程序的，那么iis是访问这个目录的

database 这个目录用来放数据库，注意如果提供这样的目录结构建议数据库放在这里面，这样就算数据库名不改成.asp的扩展名，也无法下载数据库，如果放在论坛一起的默认目录中，那么数据库名称一定要改掉，扩展名改成.asp 数据库内部已经作了防下载的处理。

再创建一个upload目录，在根目录，这个目录asp是无法访问和运行的。然后在后台上传目录设置为 ../upload  启用防盗链就可以了。

这样一来就解决了下载和上传的问题，shell是不可能被别人取得的。

另外bbsgood的前台和后台为了安全是故意可以分离的，为了安全你可以改掉默认admin的目录名称，甚至删除默认的admin目录，不影响使用。

二、mssql用户的安全处理

对于mssql用户来说，少了一个下载的威胁却多了一个注入的问题。

上传问题可以参考上面的access的安装，这个是一样的，除了使用组件上传，可以设置到上一级目录，就算上传了木马也是死马。

对于注入来说，mssql用户官方最新版防火墙中，加了一个注入扫描，一定要开启，就算程序内部的注入分析失效，外部的防火墙地址栏内容扫描是可以挡住的，另外mssql的系统要打上最新的补丁，最彻底的办法还是把 mssql的1433端口给关了，然后改用本地连接，不要用IP地址。

别忘了改掉默认的admin后台目录名哦！

还有,在3.2中默认整合了 ewebedit编辑器在edit目录中,默认的管理员密码一定要改掉,如果不使用则直接删除这个编辑器, 新下载的版本中默认已经没有了,要用的话可以去ewebedit官方下载或购买.

另外说明一下，商业用户自己在重装过或不经过上面处理的，联系官方，我们会帮助处理的。

打造更安全的BBSGood

学习中

学习中

在后台上传目录设置为 ../upload

还是不太明白，这样设置之后，上传的图片怎么在帖子中显示呢？

学习了!!!!!!