做项目时会如何处理安全性问题?

防sql注入,防csrf攻击(跨站请求伪造)

 

什么是SQL注入:

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。一部分程序员在编写代码的时候，

 没有对用户输入数据的合法性进行判断，注入者可以在表单中输入一段数据库查询代码并提交，

 程序将提交的信息拼凑生成一个完整sql语句，服务器被欺骗而执行该条恶意的SQL命令。注入者根据程序返回的结果，成功获取一些敏感数据，甚至控制整个服务器，这就是SQL注入。

 

防止sql注入

1.单双引号不要忽略

2.过略掉关键字符

3.提高数据表和字段的命名技巧，用不容易被猜到的

4.PHP配置文件中设置register_globals 为for，关闭全局变量注册

5.控制错误信息，不要再浏览器上输出错误信息

 

csrf 攻击

原理：csrf是跨站请求伪造 ，首先获取网站用户登录信息，冒充正常用户登录，进行破坏活动，受害方是正常用户和站点

防范：

1.更改api的设计，get方式只用于读取数据，创建数据用post，可以用ajax提交表单

2.在请求地址中加token验证

3.验证码