web安全 -- 常见攻击方法及预防措施

一、sql注入

sql注入，是指攻击者在猜测出服务器上要执行sql后；通过输入数据，拼接原来要执行的sql而形成新的sql；从而到达改变原来查询的意义的目的。

-- 原来sql
select xxx from table_x where id = $id;

-- 用户输入数据 $id = '1 or 1=1'

-- 拼接后sql
select xxx from table_x where id = 1 or 1=1

实质问题： 在于简单地混合代码和用户数据。原则上代码和用户数据要严格分离，用户数据经过安全处理后，才可以和代码混合。

预防方法： 

 

二、XSS

xss，是指用户在访问某页面时；该页面被注入了攻击者的js脚本，而且浏览器执行js脚本后，可能会进行危险操作。

 

三、CSRF

csrf，跨站点脚本攻击。当用户访问由攻击者搭建的b域的页面时，且攻击者引诱用户点击某

 

 

参考： https://blog.wilddog.com/?p=290

http://jackxy.com/xssfang-yu-yuan-ze/