1、后臺用戶名和密碼是否是明文保存的？

建議增加昵稱字段，區別后臺的用戶，同時對用戶名和密碼進行非規范的md5加密，例如加密以后截取15位字串。

2、管理成員是否有權限的劃分

一旦沒有劃分權限，一個編輯用戶的帳戶失竊也可能為你帶來災難性的后果

3、是否有管理日志功能

管理日志必須在近幾日無法被刪除，這是分析入侵者入侵手法的重要依據。

4、后臺入口是否隱秘

不要愚蠢地將入口暴露在前臺頁面中，也不要使用容易被猜測到的后臺入口地址。

5、后臺頁面是否使用了metarobots協議限制搜索引擎抓取

google工具條，百度工具條，或者不經意間出現的后臺鏈接都可能導致你的后臺頁面被搜索引擎發現，這時候在meta中寫入禁止抓取的語句是個明智的選擇，但是，切莫將后臺地址寫入robots.txt，參照第四點。

6、管理頁面是否做了防注入

粗心的程序員往往只考慮了前臺頁面的注入。

7、access是否有自定義數據庫備份功能

這是asp+access系統中最臭名昭著的功能，自定義數據庫備份可以讓入侵者輕松獲得webshell