**SQL 注入** 在眾多安全性漏洞中,SQL注入絕對是最嚴重但也是最好處理的一種安全漏洞。在數據庫執行查詢句時,如果將惡意用戶給出的參數直接拼接在查詢句上,就有可能發生。 舉個例子,假設原本某網站登錄" />

国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

常見的網站安全問題和解決辦法

Tecode / 2316人閱讀

摘要:在中加上屬性,確保僅能在自己的網站使用??偨Y除了文中提到的四種常見的網站安全漏洞外,一個網站還有很多細節需要考慮,例如不要用明碼存儲密碼等敏感信息,針對來源做流量限制防止等等。所以在進行網站開發時要保持安全意識,盡可能做好基本的防護措施。

經過一番 996,精心打造的網站眼看就要部屬上線了,但在網站正式上線之前,你有沒有想過自己的網站是否安全嗎?盡管你的網站用了很多高大上的技術,但是如果網站的安全性不足,無法保護網站的數據,甚至成為惡意程序的寄生溫床,那前面堆砌了再多的美好也都成了枉然。


SQL 注入
在眾多安全性漏洞中,SQL注入絕對是最嚴重但也是最好處理的一種安全漏洞。在數據庫執行查詢句時,如果將惡意用戶給出的參數直接拼接在查詢句上,就有可能發生。

舉個例子,假設原本某網站登錄驗證的查詢句長這樣:

而惡意用戶輸入的參數為:

userName = "1 OR 1=1";
passWord = "1 OR 1=1";

由于代碼中是直接將參數與查詢句做字串做的拼接,所以 SQL 就成為了這樣:

strSQL = "SELECT * FROM users WHERE (name = 1 OR 1=1) and (pw = 1 OR 1=1);"
// 相當于
strSQL = "SELECT * FROM users;"

這樣一來,賬號密碼就形同虛設,甚至可以拿到整個數據庫的結構(SELECT * FROM sys.tables)、任意修改、查詢數據,整個網站的數據就全部泄露了。

不過解決方法也很簡單,只要通過參數化查詢來避免直接將參數與查詢句拼接,并進行適當的輸入檢查、插入轉義字符、嚴格設定程序權限,就能夠有效避免 SQL 注入了。



XSS
XSS(跨站攻擊)也叫JavaScript 注入,是現代網站最頻繁出現的問題之一,它指的是網站被惡意用戶植入了其他代碼,通常發生在網站將用戶輸入的內容直接放到網站內容時。例如論壇、留言板等可以輸入任意文字的網站,惡意用戶如果寫入一小段

看起來很恐怖,那么該如何解決呢?除了前面所說的 CSRF Token 外,許多大公司還采用了另一種有趣的解決方式。即 API 的響應內容開頭為 for (;;);,這也是利用 了

閱讀需要支付1元查看
<