WooYun.org

1.首先要想的是改变存储文件名的策略（而不是把所有责任都推给用win主机的用户），毕竟用windows服务器的用户还不占少数。
windows文件名大于8个字符就可以用过短文件名访问到。
因为短文件名取前6个字符加上"~数字"，那么为什么不让文件名前六位毫无规律，变复杂呢？

如果前六位是纯数字，那么有1000000（10^6）种可能性，一夜就可以轻松获取你的备份数据库。
如果前六位是字母+纯数字，那么有1544804416（36^6）种可能性，至少要跑1544.804416夜才能获取你的数据库。
如果还有特殊字符呢？
如果加上文件夹名的可能性组合呢？

这样一来，可以跑出来的几率就几乎为0了。
2.文件夹名不要和文件名一样
我这里备份的是：pw_9-0_20141003171113_AZOKE/pw_9-0_20141003171113_AZOKE.zip
文件名和文件夹名完全一样啊，本来还需要跑一晚上才能得到数据的。这样只需跑几分钟就能获得数据了。
文件夹名命名也要遵循上面的策略，前六位一定要毫无规律，能复杂尽量复杂，以加大爆破难度。
比如A^B94!_pw_9-0_20141003171113_AZOKE/B#!5@P_pw_123456_123456_abc.zip
因为在windows主机上如果你前六位很有规律，后面再复杂也没用。
人家照样能通过短文件名把你爆破出来。
所以文件名和文件夹前六位要为windows主机考虑，一定要毫无规律+尽量复杂。
3.既然你知道windows主机只要大于8位就可以通过短文件名访问，那为什么要让文件和文件夹名大于8位呢？
所以可以（只是个人建议）判断下用户是windows主机还是linux，如果是windows主机就不用考虑文件名多长多长了，只要把8位的复杂度搞好，其他都是浮云。

8位数字+字母可能性：2821109907456（34^8）

4.教育用户安全性，设置服务器防盗链，禁止zip等文件下载。