标签:
一、sql注入
sql注入,是指攻击者在猜测出服务器上要执行sql后;通过输入数据,拼接原来要执行的sql而形成新的sql;从而到达改变原来查询的意义的目的。
-- 原来sql select xxx from table_x where id = $id; -- 用户输入数据 $id = ‘1 or 1=1‘ -- 拼接后sql select xxx from table_x where id = 1 or 1=1
实质问题: 在于简单地混合代码和用户数据。原则上代码和用户数据要严格分离,用户数据经过安全处理后,才可以和代码混合。
预防方法:
二、XSS
xss,是指用户在访问某页面时;该页面被注入了攻击者的js脚本,而且浏览器执行js脚本后,可能会进行危险操作。
三、CSRF
csrf,跨站点脚本攻击。当用户访问由攻击者搭建的b域的页面时,且攻击者引诱用户点击某
参考: https://blog.wilddog.com/?p=290
http://jackxy.com/xssfang-yu-yuan-ze/
标签:
原文地址:http://www.cnblogs.com/johnchow/p/4908108.html
