摘要：1.所有输入都要过滤 1）会被执行的sql要过滤 2）会被回显的要过滤 2.所有关键数据提交都要做Token 3.所有关键kookie都要做httponly 4.所有关键数据都不应该是明文（特别是数据库的主键） 5.加密记得加salt，salt表和密码分离 6.业务逻辑验证要合理（时序图） 阅读全文

摘要：1.sql注入 1）通过用户名输入 语法 ：用户名'or' -- 密码任意 （通过sql语法注释掉密码来进行登录） 2）get请求地址id=3 and 1<>1 union select password from user where '1'='1 (查出密码) 3)sqlmap 待搜索 4)防范 阅读全文