弱点二：关键信息没有采取加密处理

　　笔者以前研究过一款Compiere的ERP系统，其有B/S与C/S两种架构。在登陆的时候，需要用户输入用户名与密码。在输入这个信息的时候，密码采用了掩码的形式，这确实可以起到一定的保护效果。但是用户名在后台数据库中存储的，以及从网页客户端传输到应用服务器、数据库服务器的过程中，采用的都是明码的形式。这也就是说，只要攻击者采用一些嗅探工具、或者攻破了数据库，那么对于这个应用来说，攻击者就可以畅通无阻的进行一些破坏行为。相反，如果我们对于这些关键信息都采取了加密处理。那么即使攻击者有了这些数据，对于他们来说，也是没用任何用处。

　　无论是在数据库服务器，还是在客户端的Cookies中，不直接存储没有加密的挂念信息(如密码或者其他私有数据)，这是提高数据安全性的一个首要的原则。如果这些数据暴露了，但是所采用的加密方案将防止暴露用户的密码。

　　了解这个基本的原则之后，那么管理人员就需要关注，该选择使用哪种加密技术。选择的加密技术的不同，直接影响到Web服务的安全性。但是需要注意的是，加密技术也是一把双刃剑。一般来说，在同等条件下，加密级别越高，其需要的资源开销也就越大。简单的说，加密的级别与系统的性能是成反向变动的。