最近被木马折腾的觉都睡不好，有几天基本上工作到凌晨2点

把服务器乾坤大挪移了一番

但是我自己觉得网站还是不够安全

我对网站安全的认识：

1、网站的目录尽可能不要有写入权限，如果有人传入了木马那网站就遭殃了，有写入权限的目录文件可能会被修改

所以一般我只给网站分配只读权限，禁用写入权限

2、数据库不要有SA 级别的用户，权限要分配好，SQLServer sa 用户可以执行cmd 命令，一旦数据库SA用户被获得，就等于获得了操作系统的控制权

一般情况下，一个数据库对应一个db_owner角色的用户

3、图片的上传一般独立出去，只有读取权限，没有asp/.net程序的执行权限

即使做好了上面这些，我觉得网站还是不安全，
首先是 .net 的临时目录

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files

这个目录是需要有读写权限的，否则无法编译asp.net
即使网站根目录设置的是只读权限，临时目录 还是可以 修改/写入 文件的

我在想是否可以修改这个临时目录的默认路径
比如 X:\TEMPNET\

我觉得安全这块虚拟主机运营商应该是做的最好的，
否则他们一台服务器上挂那么多站，有一个站点被入侵，其他站点都会遭遇了不？