用戶密碼或其它機密數據必須用成熟加密技術加密后再存放到數據庫

　　使用明文在數據庫中存儲用戶密碼，信用卡號等數據是非常危險的，即使您使用的是非常安全的數據庫技術，仍然要非常謹慎，任何機密數據都應該加密存儲，這樣即使您的數據庫被攻破，那些重要的機密數據仍然是安全的。

　　密碼或其它機密數據必須用成熟加密技術加密后才能通過表單傳遞

　　如果您的網站沒有使用HTTPS加密技術，那您的網站服務器和訪問客戶之間的所有數據都是以明文傳輸的，這些數據很容易在交換機和路由器節點的位置被截獲，如果您無法部署HTTPS，將所有機密數據加密后再通過網絡傳播是非常有效的辦法

　　密碼或其它機密數據必須用成熟加密技術加密后才能寫入Cookie

　　很多網站將用戶帳戶信息寫到Cookie中，以便用戶下次訪問時可以直接登陸。如果用戶帳戶信息未經加密直接寫到Cookie中，這些數據很容易通過查看Cookie文件獲得，尤其當您的用戶是和別人共用電腦的時候。

　　對于訪問者提交的任何數據，都要進行惡意代碼檢查

　　雖然我們要信任用戶，但在網絡中，我們必須假設所有用戶都是危險的，如果您不對他們提交的數據進行檢查，就可能出現SQLInjection,Cross-sitescripting等安全問題。

　　網站必須有安全備份和恢復機制

　　任何網站都可能發生硬件或軟件災難，導致您的網站丟失數據，您必須根據您網站的規模和更新周期，定期對網站進行安全備份，在災難性事故發生以后，您的備份恢復機制需要在很短的時間內將整個網站恢復。需要注意的是，您一定要對您的備份恢復機制進行測試，保證您的備份數據是正確的。