一、检查，验证是否按照设计的要求运行（链接（内链，外链）是否有效，功能是否符合要求，一期测试、二期测试）；
二、页面的兼容性（包括js和css,由于js产生的内存过高或cpu过高导致浏览器无法响应）是否在各浏览器(Trident-ie6以上,webkit内核,blink内核-新版chrome 28版本以上、opera20+版本，Presto内核-opera12.17版本一下，Gecko内核-火狐)上正常运行；页面的加载和渲染速度是否在合理范围内；

三、服务器的负载压力测试：
1.负载测试，可以同时容纳多少人同时在线；推荐工具Load Runner Mecur Interactive
2.压力测试，主要是对网站进行破坏性测试。列入在短暂时间内网站的访问量急剧上升，多个用户及时提供大量数据以及长时间地，连续的访问网站。之所以进行压力测试，是由于网站通常处于非常复杂的情况中，很难确定网站的访问量是多少，以及有没有人对网站进行攻击等。通过这些测试，可以了解网站在这里极端环境下的反应，从而做好措施。
压力测试工具：
Microsoft Web Application Stress Tool 以及webLoad等

3.sql语句性能达不到你的要求，执行效率让你忍无可忍，一般会时下面几种情况。

网速不给力，不稳定。
服务器内存不够，或者SQL 被分配的内存不够。
sql语句设计不合理
没有相应的索引，索引不合理
没有有效的索引视图
表数据过大没有有效的分区设计
数据库设计太2，存在大量的数据冗余
索引列上缺少相应的统计信息，或者统计信息过期

sql语句是否合理，产生巨大的
http://www.cnblogs.com/knowledgesea/p/3686105.html
四、网站的安全性测试
1、js的安全性(本段摘自 javascript常见安全问题及自动化测试技术)
1.基于 DOM 的跨站点脚本编制
例如：
<HTML>
<TITLE>Welcome!</TITLE>
Hi
<SCRIPT>
var pos=document.URL.indexOf("name=")+5;
document.write(document.URL.substring(pos,document.URL.length));
</SCRIPT>
<BR>
Welcome to our system
…
</HTML>
按照该页面 JavaScript 代码逻辑，它会接受 URL 中传入的 name 参数并展示欢迎信息

2.url脚本注入
例如：
http://www.vulnerable.site/welcome.html?name=Jeremy
http://www.vulnerable.site/welcome.html?name=<script>alert(document.cookie)</script>
该页面则会执行被注入的 JavaScript 脚本
3.访问 URL 中结合锚点注入脚本
例如:
http://www.vulnerable.site/welcome.html#?name=<script>alert(document.cookie)</script>
4.通过 URL 重定向钓鱼
例如：<SCRIPT>
…
var sData = document.location.search.substring(1);
var sPos = sData.indexOf("url=") + 4;
var ePos = sData.indexOf("&", sPos);
var newURL;
if (ePos< 0) {
newURL = sData.substring(sPos);
} else {
newURL = sData.substring(sPos, ePos);
}
window.location.href = newURL;
…
</SCRIPT>
http://www.vulnerable.site/redir... //www.phishing.site
通过 URL 重定向钓鱼的情况下，钓鱼站点的网址并不会被服务端拦截和过滤，因此，这个漏洞往往比服务器端重定向漏洞更具有隐蔽性
4.客户端 JavaScript Cookie 引用
如果在客户端使用 JavaScript 创建或修改站点的 cookie，那么攻击者就可以查看到这些代码，通过阅读代码了解其逻辑，甚至根据自己所了解的知识将其用来修改 cookie。一旦 cookie 包含了很重要的信息，譬如包含了权限信息等，攻击者很容易利用这些漏洞进行特权升级等攻击。
5.JavaScript 劫持
Web 应用程序都利用 JSON 作为 Ajax 的数据传输机制，这通常都容易受到 JavaScript 劫持攻击，传统的 Web 应用程序反而不易受攻击。JSON 实际上就是一段 JavaScript，通常是数组格式。攻击者在其恶意站点的页面中通过 <SCRIPT> 标签调用被攻击站点的一个 JSON 动态数据接口，并通过 JavaScript Function Hook 等技术取得这些 JSON 数据。如果用户登录被攻击网站后（假定其身份认证信息是基于 Session Cookie 来保存的），又被攻击者诱引访问了恶意站点页面，那么，由于 <SCRIPT src="> 这种标签的请求会带上 Cookie 信息，恶意站点会发送 JSON 数据获取请求至被攻击站点，被攻击站点服务器会认为当前请求是合法的，并返回给恶意站点当前用户的相关 JSON 数据，从而导致用户数据泄密。整个过程相当于一个站外类型的跨站点请求伪造 CSRF 攻击。
等等

推荐测试工具
http://www.ibm.com/developerwork/ ... scanjavascriptleak/
2.用户名及密码复杂度是否做了相关限制
3.用户的会话状态是否有超时限制
4.用户的登陆，退出以及操作是否进行了日志记录
5.网站程序以及网页上的脚本是否存在漏洞
五、后台代码测试:
1.注释知否正确；
2.变量，常量，类等命名是否规范；
3.代码复杂度测试；
4.后天程序cpu占用情况

六、seo测试
1、是否有死链无效链接是否合理；
2、html标签使用是否合理（h1,strong,em等）；
3、内链是否合理。
4、noflow属性使用是否合理
七、数据库测试
1.任意情况下，用户输入数据存储在数据库是否产生乱码
2.访问量大时，服务器负载情况
3.万一数据库不可用时能否为用户提供一个友好的错误提示。

文章摘自网络，部分自己编写，转载请注明出处：http://www.lpsjj.cn