今天在Discuz开发者QQ群中，看到一些开发者良心不安，至于原因，就是他们把以前的客户的网站授权给屏蔽了，理由是客户传播了他们自己的商业版作品。而客户当时发毒誓没有传播，后来当他自己看到一些社工网站上发布的攻击Discuz论坛的详细过程的时候，他发现自己也曾存在这样的问题。

其实在软件工程里，没有绝对完美的系统。而在网站程序或者系统同样如此，就哪怕是Wordpress及Discuz这样被大量使用的开源程序依然存在各种问题，更何况是我们自己写的一些程序。比如在乌云漏洞平台搜索关于Discuz的漏洞就有几百条结果。

当然上述的漏洞基本上是一些程序上面的漏洞，这样的漏洞的修复和发现都需要有一定的编程基础，当然这样的漏洞你想利用也需要一定的基础；因此这样的问题对于普通网站管理员来说似乎有点太远了。

但是有很多并不是太远的东西，普通网站管理员也可以做到的一些事情；而且这样的东西不完善就很容易被不速之客利用，哪怕对方是一个不懂编程的小白。比如上面说的开发者遇到的问题，并不是因为Discuz的自身漏洞被利用了，而是他的作品给了一个演示站，然后直接开放了最高管理员帐号给客户登录这个演示站做测试（为了让客户完全体验真实管理网站操作）。而Discuz后来可以备份数据和执行SQL，有了这些条件哪怕是一个不懂编程的小白也进行相应的操作拿到这个网站中的作品。

而今天我要提醒大家的跟这个类似，其实也就一个习惯的问题。很多网站管理员都有备份的习惯，很多时候我们都是把文件打包，习惯好的可能打包到本地或者备份服务器或者同一服务器的其他路径。而不好的则是直接放在ftp里，甚至当前网站目录里。比如下面就是（这是我曾经服务过的一个客户的，当然我们不会进行任何操作，这里只是拿一张图来说明问题）：

这样的后果非常严重，现在网上就有那种扫备份包的软件，一旦扫到网站目录存在压缩包就可以把这个压缩包下载下来。然后这个备份里面就包含了数据库链接配置（包含数据库ip、端口、数据库名、用户名、密码）等，甚至里面就已经有了数据库的备份。

而很多时候大家为了自己方便，通常是给对应的数据库用户开放了远程链接的权限（直接用root作为网站数据库用户的就更不用说了），而这个时候直接可以用数据库客户端登录数据库，进行数据库的任何操作了。就算没有开放这个权限。很多服务器都安装了web数据库管理软件（比如mysql的myphpadmin之类的），同样可以利用软件扫描到这样软件的路径，再利用备份包里的信息就可以随意操作数据库了。

因此，我建议大家尽量在备份网站的时候留个心眼，也许一时的方便会造成你长久的不方便。