DWVA系列-1-brute Impossible等级 预防SQL注入 一次性token+预编译

打算从0到1，重新做一遍DWVA靶场，复习各个技巧并记录下思路和总结。

impossible是介绍如何防御的。

 

一次性token+次数限制。主要预防csrf和爆破。

这里主要说明一次性token的生成机制。

 

 

 

 

 

 

session_token是随机生成的动态值，每次向服务器请求，客户端都会携带最新从服务端下发的session_token值向服务器请求作匹配验证，相互匹配才会验证通过，预防CSRF，模拟表单恶意提交请求。

 

 

 

PDO预编译技术，预防SQL注入

什么是PDO，PHP数据对象（PHP Data Object）。

在很多情况下，PHP脚本会执行同样的查询逻辑，唯一的不同就是参数了。

PDO就是让数据库对SQL语句只编译一次，让该语句处于动态运行的状态，而根据参数的不同，多次执行，这样既可以

大大减少编译SQL语句带来的资源消耗，提高了效率，也让SQL主句与数据彻底分开，有效避免数据中的注入语句。