一、公司網(wǎng)站制作流程

　　1.確定網(wǎng)站主題：根據(jù)企業(yè)的產(chǎn)品與服務，進行數(shù)據(jù)分析，確定網(wǎng)站要面向的群體及所需的功能和內(nèi)容。

　　2.注冊域名：選擇一個好記且主流的域名，并通過有名的域名注冊商進行注冊，如阿里云、騰訊云等。同時，需注意域名備案問題，國內(nèi)域名和服務器需要進行備案才能正常使用。

　　3.購買網(wǎng)站空間：根據(jù)網(wǎng)站需求選擇合適的服務器，用于存儲網(wǎng)站的頁面、圖片、視頻等數(shù)據(jù)。在選擇服務器時，要選擇口碑好、質(zhì)量好的大型服務商。

　　4.域名解析：將域名解析到所購買的服務器上，使域名能夠訪問網(wǎng)站。

　　5.搭建網(wǎng)站：根據(jù)企業(yè)需求選擇模板建站或定制網(wǎng)站。定制網(wǎng)站可以根據(jù)企業(yè)的行業(yè)特性、用戶群體等進行完整定制開發(fā)，但開發(fā)周期長、費用高。

　　6.網(wǎng)站備案：完成網(wǎng)站備案，防止網(wǎng)站在互聯(lián)網(wǎng)上從事非法的經(jīng)營活動。

　　7.網(wǎng)站測試：在網(wǎng)站上線前進行全面的測試，確保網(wǎng)站運行正常，無格式錯亂、頁面丟失等問題。

　　8.網(wǎng)站優(yōu)化推廣：對網(wǎng)站進行優(yōu)化推廣，提高網(wǎng)站流量，吸引目標客戶。

　　二、公司網(wǎng)站常見漏洞及防御方法

　　1.Session文件漏洞

　　漏洞描述：Session攻擊是黑客常用手段之一，通過獲取用戶的Session ID來劫持會話，以被攻擊用戶的身份登錄網(wǎng)站。

　　防御方法：加強Session管理，如使用HTTPS協(xié)議、設置安全的Cookie屬性、定期更換Session ID等。

　　2.SQL注入漏洞

　　漏洞描述：由于對用戶輸入數(shù)據(jù)缺乏全面判斷或過濾不嚴，導致服務器執(zhí)行惡意信息。

　　防御方法：加強對請求命令的過濾，使用預編譯的SQL語句，避免直接將用戶輸入嵌入到SQL語句中。同時，定期使用專業(yè)的漏洞掃描工具對網(wǎng)站進行掃描。

　　3.腳本執(zhí)行漏洞

　　漏洞描述：由于對用戶提交的URL參數(shù)過濾較少，導致用戶提交的URL包含惡意代碼，引發(fā)跨站腳本攻擊。

　　防御方法：對可執(zhí)行文件的路徑進行預先設定，對命令參數(shù)進行處理，使用系統(tǒng)自帶的函數(shù)庫代替外部命令，減少使用外部命令。同時，保持PHP等開發(fā)語言的版本更新，以修復已知漏洞。

　　4.全局變量漏洞

　　漏洞描述：PHP中的變量可以不經(jīng)聲明就直接使用，可能導致變量被惡意篡改或利用。

　　防御方法：在PHP.ini配置文件中對全局變量進行設置，如設置request_order為GPC，對Magic_quotes_runtime進行布爾值設置等。同時，使用更新的PHP版本，以減少此類漏洞。

　　5.文件漏洞

　　漏洞描述：由于網(wǎng)站開發(fā)者對外部提供的數(shù)據(jù)缺乏充分的過濾，導致黑客利用漏洞在Web進程上執(zhí)行命令。

　　防御方法：關閉PHP代碼中的錯誤提示，對open_basedir進行設置以禁止對目錄外的文件操作，開啟safe-mode以規(guī)范將要執(zhí)行的命令。同時，嚴格驗證上傳文件的格式和內(nèi)容。

　　綜上所述，公司網(wǎng)站制作過程中應注重網(wǎng)站的安全性，遵循規(guī)范的制作流程，并采取有效的防御措施來防范常見漏洞。