web优化及web安全攻防学习总结

web优化

前端:(高性能网站建设进阶指南

  • 使用gzip压缩(节省服务器的 网络带宽)
  • 减少http请求( 减少DNS请求所耗费的时间、 减少服务器压力、 减少http请求头)
  • 使用cdn(用户可以从cdn最近节点获取资源,加快网站浏览速度)
  • 添加expires头(通过这种方式,可以实现直接从浏览器缓存中读取,而不需要去服务端判断是否已经缓存)
  • 使用外部的javascript和css(缓存文件)
  • 把css放在顶部(能够优先渲染页面,让用户感觉页面加载很快)
  • 把js放在底部(js是单个加载,可能会对后续资源造成阻塞)

后端:

  • 使用Nginx做转发(负载均衡)
  • redis做缓存(减少对数据库的重复读写操作次数,减少服务器的压力)
  • 平时写代码注意(使用echo代替print。单引号和双引号。尽量使用系统自带得原生函数)
  • 服务器配置优化
  • 字段加密及压缩(防止攻击)

数据库:

  • sql优化(加索引、用left join代替where联表)
  • 主从分库、读写分离(保证数据得完整性、用来应对访问量增加,带来频繁得读写导致数据库得访问和操作性能下降得问题)

web安全攻防

sql注入:

  • 原理(SELECT * from users where id =1 or 1=1)
  • 使用转义字符串mysql_real_escape_string()过滤数据
  • 使用mysqli得预处理
  • 使用pdo

XSS攻击:

  • 使用PHP的htmlentities()函数过滤

跨站点请求伪造(CSRF)

  • 原理:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
  • 在用户请求的页面中的所有表单中嵌入一个token,在服务端验证这个token的技术
  • 对用户会话才用适当得安全措施(给每一个会话更新id)

转载于:https://www.cnblogs.com/8013-cmf/p/9593083.html

你可能感兴趣的:(web优化及web安全攻防学习总结)