写网站后台有哪些地方是需要注意的？

别忘了过滤用户的输入防止XSS

@skydiver
后台要处理的安全问题大概有哪些？
我目前只知道要注意 XSS CSRF SQL注入。

后台登陆页要有验证码 防止暴力破解管理密码
有的写的不好的后台有些页面可以不登陆就可以访问 检查一下
验证上传文件的格式 避免被传webshell
过滤一句话shell关键字
安全要求较高的话可以增加两步验证
https://www.duosecurity.com/

@ihacku
感谢！

我来从安全角度说吧。
首先上传功能,一定要过滤好各种后缀名.. 也要注意上传的时候如果遇到%00的时候的处理,还有iis6的解析漏洞1.jpg;x.asp 还有如果同时传两个文件上来的处理..建议用各种语言对应的安全模块。。
sql注入什么的都比较好过滤...csrf一定要防御好... 像wordpress这种后台就十分危险.. 知道拿到后台密码,几乎webshell就拿下了..后台直接可以上传php或编辑php

还有就是后台查看用户的资料或者留言的时候 一定要过滤好xss..或者设置session 遇到ip 以及 useragent 不同就自动销毁session. php的ci框架就自带这功能..

选一个靠谱的框架，能基本解决大部分问题

@letitbesqzr
@9hills
感谢已发送~
框架方面打算用 flask 这种微框架来练习一下。

--------
有安全以外的方面可以分享下嘛？
我主要想知道后台除了数据库操作，安全以外还有什么其他方面需要注意的。

不要只在登陆页面进行检测用户。。。曾经见过的活生生的栗子。。。
框架只是方便你干事情，不要期待它把事情都做了。。

@MichaelYin
能具体讲一下这个例子嘛？

@scarlex 用了flask基本不用操心ls的所有安全需求

数据库可以用flask-sqlarchemy，SQL注入自然不用操心。。
表单可以用Flask-WTF，输入过滤啦，CSRF保护啦都通通都有了
不想用wtforms就想自己写，那么用Flask-SeaSurf也可以保护csrf
用户登陆和权限控制就更方便了，Flask-Login Flask-Principal

@9hills
感谢分享~