Django开发web安全防护

<1> sql注入攻击与防范

  (1)、sql注入的危害

    1、非法读取,篡改,删除数据库的中的数据;

    2、盗取用户的各类敏感信息,获取利益;

    3、通过修改数据库来修改网页上的内容;

    4、注入木马等等;

    (2)、sql注入的防范

   1、对于用户的输入进行合法性判断;

    2、参数中加入sql语句拼接字符串使之为真;

       3、使用django的orm,它已经对这些做了处理;

 

 

<2> XSS攻击

 

  (1)、XSS跨站脚本攻击(Cross Site Scripting)的危害

 

    1、盗取用户各类账号,如用户网银账号,各类管理员账号;

 

    2、盗取企业重要的具有商业价值的资料;

 

    3、非法转账;

 

    4、控制受害者的机器向其它网站发起攻击,注入木马等等;

    

    正常流程:

        

            http://www.bank.com/product/list/?name='iphone6'

 

        当传入商品参数iphone6时,这个字符串会被显示在页面中!

 

            http://www.bank.com/product/list/?name=

你可能感兴趣的:(python,web安全,数据库)