小弟自己開發過一小部份的網站程式，使用了不少的rich editor，其實最多的就是CKEditor，搭配CK Finder做檔案管理。有個人跟我說，外面的rich editor都有漏洞，所以他們只好自己開發。

話說，後學不才，接手管理了一個10年前開發的網站，在接手之前，這個網站蠻慘的，三不五時，就被掛馬和植入。

在我明白整套系統的運作方式之後，我做了網站的管理和調整，調整完至快2年，沒有被再掛馬，也沒有再被植入任何的惡意程式。

當初沒有做xss和SQL INJECITON的10年網站，仍然運作正常。

我到這邊才敢說，有問題的，其實真的不是套件，而是管理系統的人，經過幾個設定，就能擋掉95%的攻擊。連最新的功能都沒有辦法成功，這樣才是正道。

而不是去買waf或是做什麼程式升級改版，有洞的是人，想要省事的人和管理不用心或是能力不夠的人。

精選文章