网站安全防护情况（服务器安全防护软件排名）

sql注入原理T7X快乐收录网

就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。T7X快乐收录网

1.永远不要信任用户的输入，要对用户的输入进行校验，可以通过正则表达式，或限制长度，对单引号和双”-“进行转换等。T7X快乐收录网

2.永远不要使用动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。T7X快乐收录网

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。T7X快乐收录网

4.不要把机密信息明文存放，请加密或者hash掉密码和敏感的信息。T7X快乐收录网

xss
xss：跨站脚本（Cross-site Scripting）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。T7X快乐收录网

意思就是比如：攻击者在论坛中放一个看似安全的链接，骗取用户点击后，窃取cookie中的用户私密信息；或者攻击者在论坛中加一个恶意表单，当用户提交表单的时候，却把信息传送到攻击者的服务器中，而不是用户原本以为的信任站点。T7X快乐收录网

1.首先代码里对用户输入的地方和变量都需要仔细检查长度和对”<” , ”>” , ”;” , ”’” 等字符做过滤；其次任何内容写到页面之前都必须加以encode，避免不小心把html tag 弄出来。这一个层面做好，至少可以堵住超过一半的XSS 攻击。T7X快乐收录网

2.永远不要使用动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。T7X快乐收录网

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。T7X快乐收录网

4.不要把机密信息明文存放，请加密或者hash掉密码和敏感的信息T7X快乐收录网

CSRF
给出维基百科上的解释：跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。T7X快乐收录网

就是说冒充用户发起请求（在用户不知情的情况下）,完成一些违背用户意愿的请求（如恶意发帖，删帖，改密码，发邮件等）。只要是伪造用户发起的请求，都可成为CSRF攻击。T7X快乐收录网

1.服务端的CSRF方式方法很多样，但总的思想都是一致的，就是在客户端页面增加伪随机数。通过验证码的方法。T7X快乐收录网

　　《网站安全防护情况（服务器安全防护软件排名）》更新于时间：2022-07-12 21:42:48；由本站小编进行发布，目前浏览的小伙伴达到，感谢你们的支持，后期快乐收录网小编会继续为大家更新更多相关的文章，希望广大网友多多关注快乐收录网工作心得栏目，如果觉得本站不错，那就给我们一个分享的支持吧！

网站安全防护情况（服务器安全防护软件排名）特别声明

本站快乐收录网提供的网站安全防护情况（服务器安全防护软件排名）都来源于网络，不保证文章的准确性和真实性，同时，对于该文章所造成的影响，不由快乐收录网实际控制，在2022-07-12 21:42:48收录时，该网页上的内容，都属于合规合法，如有侵权违规，可以直接联系网站管理员进行整改或删除，快乐收录网不承担任何责任。

标签：