在放假之初，我抽时间看了《白帽子讲web安全》，吴翰清基本上把web安全中所有能够遇到的问题、解决思路归纳总结得很清晰，也是我这一次整体代码安全性的基石。

我希望能分如下几个方面来分享自己的经验

把握整站的结构，避免泄露站点敏感目录

在写代码之初，我也是像很多老源码一样，在根目录下放上index.php、register.php、login.php，用户点击注册页面，就跳转到http://localhost/register.php。并没有太多的结构的思想，像这样的代码结构，最大的问题倒不是安全性问题，而是代码扩展与移植问题。

在写代码的过程中，我们常要对代码进行修改，这时候如果代码没有统一的一个入口点，我们可能要改很多地方。后来我读了一点emlog的代码，发现网站真正的前端代码都在模板目录里，而根目录下就只有入口点文件和配置文件。这才顿悟，对整个网站的结构进行了修改。

网站根目录下放上一个入口点文件，让它来对整个网站所有页面进行管理，这个时候注册页面变成了http://localhost/?act=register，任何页面只是act的一个参数，在得到这个参数后，再用一个switch来选择要包含的文件内容。在这个入口点文件中，还可以包含一些常量的定义，比如网站的绝对路径、网站的地址、数据库用户密码。以后我们在脚本的编写中，尽量使用绝对路径而不要使用相对路径（否则脚本如果改变位置，代码也要变），而这个绝对路径就来自入口点文件中的定义。

当然，在安全性上，一个入口点文件也能隐藏后台地址。像这样的地址