网站上线后，怎样才能防止被黑，程序层面的。

管理好你的权限，，把被黑后可能造成的损失降到最低。
软件层面的不是你说了算的，因为你不参与编写。

多逛 v2

先发出来让大家测试一下

@jedyu 一般要做哪些测试？

@des 程序是自己写的，但是没有正式做过上线的项目所以整个流程不太清楚

花钱可以找一些安全团队做模拟攻击实验，不过对于未知漏洞就没什么效果了

攻击难度大于获取的价值

没经验就积累经验，该交的学费得交，都这样过来的

console.log("哥,是我,别黑!");

要想不黑..先学自黑...

花点钱找人维护吧，第一呢，做安全的也需要吃饭，第二呢，你在专业，都不如专门做的专业，第三，时间有限，把有限的时间放倒你自己要做的事情上面去，无关的别管。

如果是你自己编写的话，小心 SQL 注入（网址或表单），写文件上传组件的时候多参考一下别人的防范方法或者直接用成熟的库。另外就是展示用户填写的信息的时候，需要注意防范 XSS 。最后就是服务器漏洞了和安全设置了。

没有重点与非重点，全是需要注意的

多备份，权限能不给就不给，打死都不要用 root 跑服务
能用官方包的不要自己编译

可以用 owasp zap 扫描看看

如果你没有通用型漏洞，那么基本不会给机器扫描到。
其他的就需要看看你的项目有没有价值了。

勤备份

跑在 docker 里面会好一些

下线

一个看量，一个看钱。量大了肯定会有人来黑，有利可图（活动奖品）多半也会有人来薅羊毛。

如果你就做个个人简历之类的多半没人搭理。

楼主需要兼职解决这种问题的运维么……