sql注入,xxs攻击和csrf攻击

所谓防范sql注入的原则就是:永远不能相信所面对的用户

                原因:因为在众多的用户中总有一个是存在想搞垮你网站的人,

     1.用户在提交表单的时候我们如果若有框架的作为基础,可以写一个校验类,设置用户提交的信息,或者在原生php的mysql语句插入前做好数据类型的判断以及相关的检测,不给用户插入空值或者达到损害数据库的机会

在larval框架中我们可以定义一个数据模型类来批量设置数据赋值以及创建的相关数据校验类

 

XSS产生的主要原因是web浏览器对用户的输入过滤不足。 
.通过将代码注入到网页,虽然对Web服务器没有直接伤害,但它借助网络传播,其危害最终会反馈到服务器。 
.XSS漏洞如此普遍主要是因为web浏览器本身的设计是不安全的,开发人员在交互过程中的设计阶段忽略了XSS防护,加上大部分人还没认识到XSS的危害和错误的认为XSS就只会在浏览器上弹出一个窗口而已,加上触发跨站脚本的方式简单且众多和web2.0的流行和社交功能的迅猛发展,奠定了XSS发展的基础。 
.XSS最重要也是最核心的是利用自己构造好的XSS语句,欺骗web应用程序上的过滤器,实现绕过其安全检测,达成向网页中注入javaScript等脚本信息的目的,从而导致XSS漏洞在互联网上传播。 
.要善于利用工具提高效率,要学会利用各种编码方式提高XSS的攻击性和隐蔽性。例如,unicode,escapes,URL编码,十六进制,八进制等,同时对于特定情境下也可以利用脚本加密技术实现XSS攻击。 



 

 

你可能感兴趣的:(php技术)