WEB安全编程

近年来web安全越来越受到企业的重视，作为程序员，我们做程序安全的第一责任人，你对web安全编程又有多少了解呢？

其实了解常见的几个安全编程方法就会让大多数黑客无功而返，下面会一一列举:

1、SQL注入（SQL Injection）

SQL注入是指攻击者利用拼接的sql参数，进行的一些非法操作。

潜在威胁：

    a、绕过用户登录认证

   例如用户登录 SQL="select username from user where username = '"+v_username+"' and password='"+v_password+"'";

          页面用户名可以输入：tom' or 1 =1--      则直接绕过了密码验证，由于密码部分被注释掉了

    b、插入其他恶意语句

          如：页面用户名可以输入：tom'； delete from user; --

修复措施：

尽可能使用preparedStatment及下级方法excute  excuteQuery  excuteUpdate等进行参数设置sql执行。

如果实在不能使用preparedStatment的形式，如in，则必须进行替换或者转移掉危险的字符。

2、插入脚步XSS（Cross-Site Scripting）

XSS是指如果有一个页面里输入数据，另一个页面显示数据。

如果用户在页面