(3)对附加文件进行检测有一种技术叫“文件隐藏技术”，其实就是利用windows的命令行下的一条命令 copy 1.gif /a + 1.asp /b 1.gif将2个文件进行合并，这个办法可以用来合并木马进mdb数据库，然后通过备份将文件保存为一个指定的木马文件，所以程序员在程序编写过程中也要特别注意这点，动网论坛的程序可以作为一个参考。

　　(4)上传目录不能动态生成，前端时间由于IIS6 的一个解析漏洞，导致动易等一系列的大型网站被黑。问题就出在他们的程序允许以注册用户的用户名生成一个目录，当用户注册一个1.php的用户名，然后上传一个改名为1.jpg后的php木马，就得到一个访问路径http://www.xxx.com/user/1.php/1.jpg。当我们访问这个jpg文件的时候IIS6的漏洞就提供了我们便利。因为这个jpg将以一个php程序的身份被运行。结果显而易见，我们顺利得到一个webshell，所以不只是对用户上传目录不允许动态生成，也建议不要提供设置上传目录的功能。因为windows有一个严重的Bug，就是目录不存在的时候则自动生成。

　　(5)上传验证格式不要在后台提供设置，很多网站允许在后台设置允许上传或者禁止上传的文件格式，这个功能是我完全不必要的，虽然提供了更完善更强大的功能，交互性加强了。但是带来的安全问题远超过他的使用性。所以建议程序员在开发网站程序的时候不要提供这个不必要的功能。

　　(3 ) 程序参数允许写入文件

　　在对“蓝木企业管理系统”进行分析的时候发现现在有很多程序在后台允许设置的参数是允许写入文件的。这个做的问题就是允许我们构造特殊的语句，将一个参数保存文件改造为一个木马，当提交的表单对文本域的长度进行限制的时候我们可以构造一个一句话木马，没有过滤的话，我们就可以直接写入一个大马了。所以建议程序员养成良好的习惯，将参数数据都保存到数据库中，不要保存到文件里，避免类似情况的发生。下面我们以蓝木企业管理系统为例，进行演示：

　　这里的所有参数都是写入到setup.asp这个文件里的。