2014電子商務例行檢查

❶ 電子商務安全包括哪些方面

在正確看待電子商務的安全問題時，有幾個觀念值得注意：
其一，安全是一個系統的概念。安全問題不僅僅是個技術性的問題，不僅僅只涉及到技術，更重要的還有管理，而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二，安全是相對的。房子的窗戶上只有一塊玻璃，一般說來這已經很安全，但是如果非要用石頭去砸，那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性，因為大家都有一個普遍的認識：玻璃是不能砸的，有了窗玻璃就可以保證房子的安全。同樣，不要追求一個永遠也攻不破的安全技術，安全與管理始終是聯系在一起的。也就是說安全是相對的，而不是絕對的，如果要想以後的網站永遠不受攻擊，不出安全問題是很難的，我們要正確認識這個問題。
其三，安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C，都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價，如果能考慮到安全速度就得慢一點，把安全性保障得更好一些，當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題，對安全的要求就低一些；如果牽涉到支付問題對安全的要求就要高一些，所以安全是有成本和代價的。...在正確看待電子商務的安全問題時，有幾個觀念值得注意：
其一，安全是一個系統的概念。安全問題不僅僅是個技術性的問題，不僅僅只涉及到技術，更重要的還有管理，而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二，安全是相對的。房子的窗戶上只有一塊玻璃，一般說來這已經很安全，但是如果非要用石頭去砸，那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性，因為大家都有一個普遍的認識：玻璃是不能砸的，有了窗玻璃就可以保證房子的安全。同樣，不要追求一個永遠也攻不破的安全技術，安全與管理始終是聯系在一起的。也就是說安全是相對的，而不是絕對的，如果要想以後的網站永遠不受攻擊，不出安全問題是很難的，我們要正確認識這個問題。
其三，安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C，都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價，如果能考慮到安全速度就得慢一點，把安全性保障得更好一些，當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題，對安全的要求就低一些；如果牽涉到支付問題對安全的要求就要高一些，所以安全是有成本和代價的。作為一個經營者，應該綜合考慮這些因素；作為安全技術的提供者，在研發技術時也要考慮到這些因素。
其四，安全是發展的、動態的。今天安全明天就不一定很安全，因為網路的攻防是此消彼長、道高一尺、魔高一丈的事情，尤其是安全技術，它的敏感性、競爭性以及對抗性都是很強的，這就需要不斷地檢查、評估和調整相應的安全策略。沒有一勞永逸的安全，也沒有一蹴而就的安全。

❷ 網傳上海浦東機場突擊檢查，代購「損失」慘重，你怎麼看

如果說上海浦東機場真的突擊檢查，讓代購從業人員「損失」慘重，那是大快人心的好事。

雖然國內產品在質量上有些還比不上國外的，國外產品在價低也可能比國內的產品要低。但作為國人，本該支持國貨。如果都去買國外產品，我國的經濟怎麼發展起來？自己國家經濟不好了，個人又怎麼能好？這是大國與小家的利益關系，沒有國，哪有家？

無論做什麼，如果法律與國家政策不允許的，我們不能做，包括代購生意。代購讓國內產品賣不出去，讓國家稅收大大減少，傷害國家利益的事，就該堅絕打擊。上海浦東機場突擊檢查，做得好！

❸ 電商法關於刷單的處罰具體是怎麼規定的

電商法關於刷單的處罰是依照有關法律的規定處罰，根據《中華人民共和國反不正當競爭法》，刷單的處罰是處二十萬元以上一百萬元以下的罰款。

《中華人民共和國電子商務法》中規定：

第八十五條電子商務經營者違反本法規定，銷售的商品或者提供的服務不符合保障人身、財產安全的要求，實施虛假或者引人誤解的商業宣傳等不正當競爭行為，濫用市場支配地位，或者實施侵犯知識產權、侵害消費者權益等行為的，依照有關法律的規定處罰。

《中華人民共和國反不正當競爭法》中規定：

第二十條經營者違反本法第八條規定對其商品作虛假或者引人誤解的商業宣傳，或者通過組織虛假交易等方式幫助其他經營者進行虛假或者引人誤解的商業宣傳的，由監督檢查部門責令停止違法行為，處二十萬元以上一百萬元以下的罰款；情節嚴重的，處一百萬元以上二百萬元以下的罰款，可以吊銷營業執照。

(3)2014電子商務例行檢查擴展閱讀

《2019網路市場監管專項行動（網劍行動）》中規定：

第二條嚴厲打擊不正當競爭行為，營造公平競爭的市場環境。按照《反不正當競爭法》《電子商務法》等相關規定，嚴厲打擊網路虛假宣傳、刷單炒信、違規促銷、違法搭售等行為。嚴肅查處違規推銷宣傳嬰幼兒配方食品的行為。

嚴厲打擊通過組織非法寄遞空包裹等方式，幫助其他經營者進行刷單炒信等違法行為。督促電子商務平台經營者進一步加強對刷單炒信行為的監測監控，完善商品（服務）信用評價體系，配合執法工作開展。依法查處電子商務平台經營者限制平台內經營者參與其他第三方電子商務平台經營活動等行為。

❹ 電子商務47條標准

一、信息中心
必須建立一個信息中心，並且使消費者在網站上的任何地方都可以找到這個信息中心的鏈接。（最低要求）
銷售商必須使用「Information」這個詞作為該信息中心的標題。（最低要求）

二、需公布的內容
銷售商必須在信息中心公布如下內容：銷售商的法定名稱以及業主；主要辦公地點;和銷售商聯系的渠道，如電話或EMAIL；特殊業務的專業許可證。（最低要求）
必須在信息中心提供在廣告中沒有明確的客戶支付方式或其他使用第三方產品或服務的資料。（最低要求）
在消費者被要求最終確認訂單之前，銷售商必須為消費者提供所有費用的清單，包括商品/服務的費用、運費、處理費以及稅。（最低要求）
信息中心必須提供質量保證的說明，包括擔保的有效期、適用的范圍、不適用的范圍、如何擔保等。（最低要求）
對每個產品或服務都必須提供有關售後服務的信息，包括服務范圍、期限、如何進行等。（最低要求）
在信息中心中必須向客戶說明適用哪一國家或地區的法律。（最低要求）
必須向客戶公布可以選擇的各種支付方式。（最低要求）
必須提供有關處理取消訂單、退貨、退款的原則，包括可以取消訂單的有效期、哪些產品可以退貨、退貨的條件、取消訂單或者退貨的費用、運費的支付方、消費者何時可以得到退款等。（最低要求）
必須公布銷售商從消費者的信用卡上收款的規定。（最低要求）

三、產品/服務
如果銷售商在銷售或發貨上對不同消費者（如特定地區或年齡）有限制必須明確說明。（最低要求）
在消費者最終訂貨之前，銷售商必須提供有關產品的供應情況，即貨物發送或訂單的處理估計所需要的時間。（最低要求）
銷售商必須在兩個工作日內通知期貨訂購者。（最低要求）
必須用明顯的標記，如顏色，圖標等標識那些在網站上列出，但不能從網路上直接定購的商品。（最低要求）
對於訂購了無現貨的產品的消費者，應該在貨物到達後通知他們。（最佳選擇）

四、保密和安全
必須公布銷售商的保密原則，至少包括：銷售商將收集消費者的哪些資料，在何處收集；使用這些資料的目的；銷售商是否會向第三方提供這些資料，如果提供，是在何種情況下；消費者資料是否是整個商務計劃的一部分，如進行目標市場分析、建立各種促銷方案等；消費者是否有可能限制使用私人資料，如何進行。（最低要求）
銷售商必須在主頁和信息中心提供標記為「Privacy」的保密原則鏈接。（最低要求）
消費者必須有能力選擇銷售商是否可以利用收集到的消費者資料主動發送的各種信息，並且在這些資料被開始收集時就可以進行這種選擇。（最低要求）
消費者必須有能力選擇是否同意將自己的私人信息提供給第三方，並且在這些資料被開始收集時就可以進行這種選擇。（最低要求）
如果有關交易的第三方（如購物車、支付網關）的保密原則和銷售商的不同，銷售商必須提供指向第三方保密原則的鏈接。（最低要求）
在整個交易過程中，銷售商必須對所有消費者提供的信息進行加密傳輸。（最低要求）
銷售商必須對銷售商存儲的消費者資料進行加密處理。（最低要求）
在信息中心，銷售商必須為消費者提供哪些傳輸過程和資料是被保護的信息。（最低要求）

五、確認和通知
銷售商必須在消費者訂貨後一個工作日內向消費者發出訂單確認EMAIL。（最低要求）
銷售商必須將總費用包括在訂單確認通知中，或者明確告訴消費者從何處可以查找到總費用。（最低要求）
銷售商應該在消費者定購的貨物被發運或者服務被執行後一個工作日內通過EMAIL通知消費者。（最佳選擇）
銷售商必須將如下信息包含在發運通知中，或者明確告訴消費者從那裡可以得到這些消息：貨物名稱、總費用、貨物從哪裡以何種方式運出、估計的運輸時間和如果有問題如何解決。（最低要求）
如果消費者選擇的運輸方式可以進行貨物在運輸過程中的跟蹤，銷售商也應該為消費者提供這一方法。（最佳選擇）
如果消費者選擇的運輸方式提供有關貨物已經被收取和收取者姓名的資料，銷售商也應該為消費者提供這一方法。（最佳選擇）
如果銷售商僅運出消費者定購的部分商品時，銷售商應該通知消費者其他商品將在以後運出。（最佳選擇）
如果客戶取消訂單或者退貨，銷售商必須在三個工作日中通知消費者已經收到取消訂單或者退貨。（最低要求）

六、幫助和客戶服務
銷售商必須為消費者提供通過EMAIL提問或投訴的渠道。（最低要求）
銷售商必須在信息中心中提供獲得客戶服務條款的渠道。（最低要求）
銷售商必須提供客戶反饋和文本投訴的渠道。（最低要求）
銷售商必須在收到問題或投訴48小時內向消費者承認收到了問題或投訴。（最低要求）
如果投訴是有關商品而且銷售商自身不能解決，銷售商必須向消費者提供和生產商聯系的適當方法（最低要求）

七、其他
銷售商應該保證發運的每個包裝都在運輸機構進行了標準的防丟失、防盜和防損害保險。（最佳選擇）
銷售商必須按照可列印的格式向消費者提供定購貨物的發票。（最低要求）
如果消費者選擇的運輸公司許可，銷售商應該向消費者提供可以進行特別投遞的能力。（最佳選擇）
如果消費者以前已經提供過必要的信息，銷售商應該為消費者提供「一鍵」購物的能力。（最佳選擇）
ECML（電子商務模式語言）的支持，允許消費者在填寫購物車表格時，避免重復性的輸入。（最佳選擇）
銷售商應該提供實時處理訂單和效驗消費者信用卡的能力。（最佳選擇）
銷售商應該提供通過關鍵詞對整個站點的信息和產品進行搜索的能力。（最佳選擇）
銷售商應該提供消費者可以通過WEB來檢查訂單狀況的工具。（（最佳選擇）
銷售商應該提供消費者可以檢查以前訂單的能力。（最佳選擇）
銷售商應該有一種系統化的方法來不斷處理消費者的反饋和了解他們的滿意程度。（最佳選擇）

❺ 電子商務網站被黑客攻擊的標志是什麼

建站一段時間後總能聽得到什麼什麼網站被掛馬，什麼網站被黑。好像入侵掛馬似乎是件很簡單的事情。其實，入侵不簡單，簡單的是你的網站的必要安全措施並未做好。
有條件建議找專業做網站安全的sine安全來做安全維護。

一：掛馬預防措施：

1、建議用戶通過ftp來上傳、維護網頁，盡量不安裝asp的上傳程序。

2、定期對網站進行安全的檢測，具體可以利用網上一些工具，如sinesafe網站掛馬檢測工具！

序，只要可以上傳文件的asp都要進行身份認證!

3、asp程序管理員的用戶名和密碼要有一定復雜性，不能過於簡單，還要注意定期更換。

4、到正規網站下載asp程序，下載後要對其資料庫名稱和存放路徑進行修改，資料庫文件名稱也要有一定復雜性。

5、要盡量保持程序是最新版本。

6、不要在網頁上加註後台管理程序登陸頁面的鏈接。

7、為防止程序有未知漏洞，可以在維護後刪除後台管理程序的登陸頁面，下次維護時再通過ftp上傳即可。

8、要時常備份資料庫等重要文件。

9、日常要多維護，並注意空間中是否有來歷不明的asp文件。記住：一分汗水，換一分安全!

10、一旦發現被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。

11、對asp上傳程序的調用一定要進行身份認證，並只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇程

二：掛馬恢復措施：

1.修改帳號密碼

不管是商業或不是，初始密碼多半都是admin。因此你接到網站程序第一件事情就是「修改帳號密碼」。帳號

密碼就不要在使用以前你習慣的，換點特別的。盡量將字母數字及符號一起。此外密碼最好超過15位。尚若你使用

SQL的話應該使用特別點的帳號密碼，不要在使用什麼什麼admin之類，否則很容易被入侵。

2.創建一個robots.txt

Robots能夠有效的防範利用搜索引擎竊取信息的駭客。

3.修改後台文件

第一步：修改後台里的驗證文件的名稱。

第二步：修改conn.asp，防止非法下載，也可對資料庫加密後在修改conn.asp。

第三步：修改ACESS資料庫名稱，越復雜越好，可以的話將數據所在目錄的換一下。

4.限制登陸後台IP

此方法是最有效的，每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩點每次改一下咯，安全第一嘛。

5.自定義404頁面及自定義傳送ASP錯誤信息

404能夠讓駭客批量查找你的後台一些重要文件及檢查網頁是否存在注入漏洞。

ASP錯誤嘛，可能會向不明來意者傳送對方想要的信息。

6.慎重選擇網站程序

注意一下網站程序是否本身存在漏洞，好壞你我心裡該有把秤。

7.謹慎上傳漏洞

據悉，上傳漏洞往往是最簡單也是最嚴重的，能夠讓黑客或駭客們輕松控制你的網站。

可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業做網站安全的sinesafe公司。

8. cookie 保護

登陸時盡量不要去訪問其他站點，以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。

9.目錄許可權

請管理員設置好一些重要的目錄許可權，防止非正常的訪問。如不要給上傳目錄執行腳本許可權及不要給非上傳目錄給於寫入權。

10.自我測試

如今在網上黑客工具一籮筐，不防找一些來測試下你的網站是否OK。

11.例行維護

a.定期備份數據。最好每日備份一次，下載了備份文件後應該及時刪除主機上的備份文件。

b.定期更改資料庫的名字及管理員帳密。

c.借WEB或FTP管理，查看所有目錄體積，最後修改時間以及文件數，檢查是文件是否有異常，以及查看是否有異常的賬號。

網站被掛馬一般都是網站程序存在漏洞或者伺服器安全性能不達標被不法黑客入侵攻擊而掛馬的。

網站被掛馬是普遍存在現象然而也是每一個網站運營者的心腹之患。

您是否因為網站和伺服器天天被入侵掛馬等問題也曾有過想放棄的想法呢，您否也因為不太了解網站技術的問題而耽誤了網站的運營，您是否也因為精心運營的網站反反復復被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業做網站安全的sine安全來做安全維護。

❻ 電子商務應用於生活中的哪些

電子商務來是以信息網路技術自為手段，以商品交換為中心的商務活動；也可理解為在互聯網（Internet）、企業內部網（Intranet）和增值網（VAN，Value Added Network）上以電子交易方式進行交易活動和相關服務的活動，是傳統商業活動各環節的電子化、網路化、信息化。
存在價值
電子商務存在價值就是讓消費者通過網路在網上購物、網上支付，節省了客戶與企業的時間和空間，大大提高了交易效率，特別對於工作忙碌的上班族，也大量節省了其寶貴時間。在消費者信息多元化的 21 世紀，可以通過足不出戶的網路渠道，享受現場購物樂趣，已經成為消費者習慣。

❼ 電子商務安全隱患有哪些

恩，都對吧，應該就是這些了。以下是對目前國內電子商務站點普遍存在的幾個嚴重的安全問題的一些分析。
1、 客戶端數據的完整性和有效性檢查
1.1、特殊字元的過濾
在 W3C 的 WWW Security FAQ 中關於CGI安全編程一節里列出了建議過濾的字元： &;`'\"|*?~<>^()[]{}$\n\r
這些字元由於在不同的系統或運行環境中會具有特殊意義，如變數定義/賦值/取值、非顯示字元、運行外部程序等，而被列為危險字元。W3C組織強烈建議完全過濾這些特殊字元。但在許多編程語言、開發軟體工具、資料庫甚至操作系統中遺漏其中某些特殊字元的情況時常出現，從而導致出現帶有普遍性的安全問題。1.1.1、CGI和Script編程語言的問題
在幾種國內常見的WEB編程語言中，ASP和Cold Fusion 腳本語言對特殊字元的過濾機制不夠完善，例如沒有對單引號做任何處理等。Perl和php對特殊字元的過濾則較為嚴密，如忽略或加上「\」（取消特殊字元含義）處理。C語言編寫的cgi程序對特殊字元的過濾完全依賴於程序員的知識和技術，因此也可能存在安全問題。
1.1.2、Microsoft ASP腳本
普遍存在的問題是程序員在編寫ASP腳本時,缺少或沒有對客戶端輸入的數據/變數進行嚴格的合法性分析。無意或有意輸入的特殊字元可能由於其特殊含義改變了腳本程序，從而使腳本運行出錯或執行非法操作。例如，當腳本程序需要進行資料庫操作時，惡意用戶可以利用嵌入特殊字元來突破腳本程序原先的限制。
因此,如果攻擊者輸入某些特定sql語句,可能造成資料庫資料丟失/泄漏/甚至威脅整個站點的安全。比如攻擊者可以任意創建或者刪除表（如果可以猜測出已存在的表名），清除或者更改資料庫數據。攻擊者也可能通過執行一些儲存過程函數,將sql語句的輸出結果通過電子郵件發送給自己，或者執行系統命令。
1.1.3、PHP和Perl
雖然提供了加上」\」（取消特殊字元含義）處理的手段，但是處理一些資料庫時依然可以被改寫。（我們本地的測試證實了這情況。）請閱讀下面關於資料庫問題的分析。對於MySQL則沒有問題，\'不會與前面的單引號封閉，而當作一個合法的字元處理。針對oracle和informix等資料庫暫時未進行相關測試。
另外，對於PHP或者Perl語言，很多程序對於數字類型的輸入變數，沒有加單引號予以保護，攻擊者就有可能在這種變數中加入額外的SQL語句，來攻擊資料庫或者獲得非法控制許可權。1.2、資料庫問題
不同的資料庫對安全機制的不同認識和實現方法，使它們的安全性也有所不同。最常見的問題是利用資料庫對某些字元的不正確解釋，改寫被執行的SQL語句，從而非法獲得訪問許可權。例如，Microsoft SQL Server和Sybase對 \'當作了兩個不同字元，所以僅僅在程序中加上」\」仍然可能通過一些特殊手段改寫 SQL語句突破資料庫的安全防線。Microsoft SQL Server也將」—「作為注釋符號，這個符號以後的SQL語句均被忽略，攻擊者可能利用這個來屏蔽掉某些用來認證的SQL語句(例如口令驗證)，獲得對合法用戶帳號的控制權。MySQL則將\'作為一個可操作的正常字元，不存在利用\'改寫的可能。其它資料庫如Oracle、Informix和MiniSQL等也必須注意防止各種改寫SQL語句的可能。（註：另外，迄今為止，各種資料庫都或多或少地被發現存在不同程度上的安全漏洞。如Microsoft SQL拒絕服務漏洞，MySQL GRANT許可權可改變任意用戶口令的漏洞，MySQL 遠程繞過口令限制的漏洞，MiniSQL遠程緩沖區溢出漏洞，Oracle Web Listener 非授權訪問漏洞，Oracle dbsnmp符號連接漏洞，Sybase PowerDynamo目錄遍歷漏洞，等等。由於資料庫數據資料是電子商務網站的最重要部份，關繫到電子商務網站的生死存亡，因此修補各種安全漏洞，保證資料庫免受各種攻擊，是絕對必要的！）
2、 Cookie或用戶身份的常用認證問題
對於一個網站會員而言，經常存在需要一次注冊，多次認證的問題，一般採用手段為cookie或input type=hidden來傳遞認證參數。這裡面有幾點隱患：
I. 所攜帶內容必須完整包含帳號密碼，或類似的完整安全信息，如果只攜帶帳號信息或用某種許可權標志來認證，極容易造成非法入侵，我們檢測了一些電子商務網站，很多都有此類安全隱患。例如某站點中的會員更新頁面中攜帶的認證信息是兩個，用戶名和Uid(均為明文傳送)已知Uid對於每個會員是唯一的。由於我們只需要知道對方的帳號和Uid就可以更改對方信息（不需要知道密碼！），只要攻擊者知道Uid（攻擊者可以通過暴力猜測的方法來得到Uid，有時候站點本身也會泄露用戶的Uid,例如在論壇等處）那麼，攻擊者就可以通過遍歷攻擊完成對任意一個帳號的信息更改。
II. 必須所有需要許可權操作的頁面都必須執行認證判斷的操作。如果任何一頁沒有進行這種認證判斷，都有可能給攻擊者以惡意入侵的機會。
III. 很多網站為了方便，將用戶名以及口令信息儲存在Cookie中，有的甚至以明文方式保存口令。如果攻擊者可以訪問到用戶的主機，就可能通過保存的Cookie文件得到用戶名和口令。
3、 大量數據查詢導致拒絕服務
許多網站對用戶輸入內容的判斷在前台，用JavaScript判斷，如果用戶繞過前台判斷，就能對資料庫進行全查詢，如果資料庫比較龐大，會耗費大量系統資源，如果同時進行大量的這種查詢操作，就會有Denial of Service（DoS —— 拒絕服務）同樣的效果。
解決方法：
1、客戶端數據完整性和有效性檢查的解決辦法
根據目前國內電子商務網站普遍存在的安全問題，主要的原因是未對某些特殊字元——例如單引號（』）進行過濾，或過濾機制不夠完善。因此較為根本的解決方法是加強過濾機制，對用戶輸入數據進行全面的檢查。以對ASP + Microsoft SQL Server類型的網站危害比較大的單引號（』）為例。目前可以肯定的是僅僅通過加上」\」或雙引號處理是不健全的，必須杜絕單引號在處理程序的SQL語句中出現。I. 對於從客戶端接收的數據變數應該用"』"(單引號)來引用；
II. 對用戶輸入的所有數據進行合法性檢查（盡可能放在後台校驗），包括數據長度和數據內容，將其中的特殊意義字元替換或不予往下執行。例如，將"』"替換成"』』" (兩個單引號)號或用雙位元組中文單引號替換；而對於數字型變數，要檢查輸入的數據是否全為數字。
III. 對象資料庫不使用系統默認的dbo用戶。並盡量減少新增用戶的許可權；以ASP為例，具體的實現可以通過函數Replace函數來實現，如：<%
username=Replace(trim(Request.Form(「username」)),」』」,」』」)
password=Replace(trim(Request.Form(「password」)) ,」』」,」』」)
%>
以上例子將變數username與password中的字元」』」(單引號)替換成雙位元組中文單引號。如希望用戶能使用單位元組單引號」』」，可參考使用如下函數：
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="』" then
tstr=tstr+"』"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>該函數將需要校驗的數據中的單位元組單引號後添加了"』"，這樣，送入SQL中的"』"就變成了"』』"，當輸出該欄位數據時，該項內容中的"』』"輸出為"』"。對於其他的CGI編程語言，可以參照上述方法的思路進行處理。2、 Cookie或用戶身份的常用認證問題的解決辦法
由於session （會話）機制主要由伺服器控制，比利用cookie傳遞認證參數更為安全可靠，因此可使用session會話取代cookie認證。如果必須使用Cookie傳遞參數，必須將參數內容進行加密，並正確設置Cookie的有效時間。3、 大量數據查詢導致拒絕服務的解決辦法
為了安全起見，應該將可能導致出現這種拒絕服務攻擊的Javascript移植到由伺服器端執行，防止客戶端向伺服器提交過量的資料庫操作。4、 若對本次安全公告有不明之處，請與我們聯系獲得進一步的幫助。
鑒於此漏洞的嚴重性，我們將向國內站點提供解決這個安全問題的免費技術支持

❽ 電子商務常用的安全措施

就整個系統而言，安全性可以分為四個層次
1．網路節點的安全
2．通訊的安全性
3．程序的安全性
4．用戶的認證管理
其中2、3、4層是通過操作系統和Web伺服器軟體實現，網路節點的安全性依靠防火牆保證，我們應該首先保證網路節點的安全性。
一、網路節點的安全
1．防火牆
防火牆是在連接Internet和Intranet保證安全最為有效的，防火牆能夠有效地監視網路的通信信息，並記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統。
2．防火牆安全策略
應給予特別注意的是，防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源，這種安全策略應包括：規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統，而沒有全面的安全策略，那麼防火牆就形同虛設。
3．安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網，則防火牆失效。所以，要保證防火牆發揮作用，必須保證操作系統的安全。只有在安全操作系統的基礎上，才能充分發揮防火牆的功能。在條件許可的情況下，應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1．數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全，一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於：
（1）客戶瀏覽器端與電子商務WEB伺服器端的通訊；
（2）電子商務WEB伺服器與電子商務資料庫伺服器的通訊；
（3）銀行內部網與業務網之間的數據通訊。其中（3）不在本系統的安全策略范圍內考慮。

2．安全鏈路
在客戶端瀏覽器和商務WEB伺服器之間採用SSL協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。採用的是瀏覽器預設的4O位加密強度，也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制，SSL首先要求伺服器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構（CA中心）簽發。瀏覽器要驗征伺服器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法（RSA）與伺服器協商一個對稱演算法及密鑰，然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、程序的安全性
即使正確地配置了訪問控制規則，要滿足機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數；程序員忘記檢查邊界條件，特別是處理字元串的內存緩沖時；程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運 行，其他的部分只有縮小的許可；程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令，特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些。只有通過監視系統並尋找違反安全策略的行為，才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1．身份認證
電子商務用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份，IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能，所以只採用ID號和密碼口令的身份確認機制。
2．CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是CA證書，它由認證授權中心（CA中心）發行。CA中心一般是公認的可靠組織，它對個人、組織進行審核後，為其發放數字證書，證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時進行）。
五、安全管理
為了確保系統的安全性，除了採用上述技術手段外，還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員，按其職責設定其訪問系統的最小許可權。
按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法佔用、冒用合法用戶帳號和密碼。
建立安全維護日誌，記錄與安全性相關的信息及事件，有情況出現時便於跟蹤查詢。定期檢查日誌，以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份，且對資料庫中存放的數據，資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1OO％的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。

❾ 電子商務的運作流程

電子商務的運作流程：
1.企業將商品信息通過網路展示給客戶，客戶通過訪問網版站，選擇需要購權買的商品，並填寫訂單。
2.廠方通過訂單確認客戶，告之收費方法，同時通知自己的應用系統組織貨源程序。
3.客戶通過電子結算與金融部門交互執行交易。
4.金融部門通過電子郵件（或其它方式）通知買賣雙方交易的結果。
5.廠方組織貨物，並送達到客戶手中。 從上述電子商務的實際流程中，電子商務是集信息流、商流、資金流、物流為一身，是整個的貿易交易過程。