网络安全各层“特殊数据”输入控制问题

1.如果在操作系统层上没处理好

比如Linux的Bash环境把“特殊数据”当做指令执行时，就产生了OS命令执行的安全问题，这段“特殊数据”可能长得如下这般：; rm -rf /;

2.如果在存储层的数据库中没处理好

数据库的SQL解析引擎把这个“特殊数据”当做指令执行时，就产生SQL注入这样的安全问题，这段“特殊数据”可能长得如下这般：' union select user, pwd, 1, 2, 3, 4 from users--

3.如果在Web容器层如nginx中没处理好

nginx把“特殊数据”当做指令执行时，可能会产生远程溢出、DoS等各种安全问题，这段“特殊数据”可能长得如下这般：%c0.%c0./%c0.%c0./%c0.%c0./%c0.%c0./%20

4.如果在Web开发框架或Web应用层中没处理好

把“特殊数据”当做指令执行时，可能会产生远程命令执行的安全问题，这段“特殊数据”可能长得如下这般：eval($_REQUEST['x']);

5.如果在Web前端层中没处理好

浏览器的JS引擎把“特殊数据”当做指令执行时，可能会产生XSS跨站脚本的安全问题，这段“特殊数据”可能长得如下这般：'"><script>alert(/cos is my hero./)</script>