web中的安全编码

个人记录

一、Web安全验证

• 输入验证
• 防范跨站脚本XSS攻击
• 防止SQL注入
• 图片验证码

二、输入验证

经典的安全法则：永远不要相信用户提交的数据

验证内容：

• 用户名，密码等格式
• 验证长度防止数据库溢出错误
• 邮件，手机，邮编等格式

客户端：主要通过JavaScript来验证，过滤用户输入

服务器端：检测用户输入的合法性，强制转换用户值输入，数据库约束验证

 

三、防范跨站脚本XSS攻击

•  实行严格的输入验证
• 实现Session标记等
• 进行HTML的格式化

四、防止SQL注入

客户端：

• 过滤或者转义危险字符
• 使用正则表达式限制输入

服务器端：

• 控制数据库的访问权限
• 分步验证用户名和密码
• 对账号做加密处理

五、图片验证码