且行且吟

SQL注入 最常见的攻击方式，所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击． 跨站脚本攻击（XSS） 跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。 文件包含 由于开发

本文首先简单介绍开发测试人员如何对 Web 应用进行 XSS 漏洞测试，如何借助工具绕过客户端 JavaScript 校验输入恶意数据；然后针对使用 PHP 语言构建的 Web 站点，从在输出端对动态内容进行编码、以及在服务器端对输入进行检测两方面介绍如何避免恶意的 XSS 攻击。使用 PHP 构建的 Web 应用如何避免 XSS 攻击 Web 2.0 的发展为网络用户的互动提供了更多机会。用户通

https://www.ibm.com/developerworks/cn/opensource/os-cn-php-xss/

http://www.cnblogs.com/dolphinX/p/3403027.html

10.3 请君入瓮–会话固定（1）会话固定也是会话劫持的一种类型。会话劫持是攻击者偷走受害者与服务器建立链接的会话，而会话固定是攻击者事先建立一个会话，然后诱使受害者使用此会话进行登录，如图10-7所示。 图10-7 一种简单的会话固定攻击方式 简单地解释一下图10-7所示的流程。攻击者Bob以一个合法的用户身份登录www.buybook.com。服务器与Bob建立了一个会话，session

在最近的项目中有这样的场景1.生成文件的时候,由于多用户都有权限进行生成,防止并发下,导致生成的结果出现错误,需要对生成的过程进行加锁,只容许一个用户在一个时间内进行操作,这个时候就需要用到锁了,将这个操作过程锁起来.2.在用了cache的时候,cache失效可能导致瞬间的多数并发请求穿透到数据库此时也可以得需要用锁在同一并发的过程中将这个操作锁定. 针对以上的2种

短信验证码如何防止不恶意点击被刷！短信接口验证码是网站、App校验用户手机号码真实性的首要途径，在为网站及APP提供便利的同时，手机短信验证功能也会被部分用户进行恶意使用。注：发送验证码1分钟只能点击发送1次；相同IP手机号码1天限制6次内；在提交页面加入图形校验码，防止机器人恶意发送；在发送验证码接口程序中，判断图形校验码输入是否正确。目前，防范的手段主要有以下几个方面：短信发送间隔设置——设置同