web中的安全编码

个人记录

一、Web安全验证

  • 输入验证
  • 防范跨站脚本XSS攻击
  • 防止SQL注入
  • 图片验证码

二、输入验证

经典的安全法则:永远不要相信用户提交的数据

验证内容:

  • 用户名,密码等格式
  • 验证长度防止数据库溢出错误
  • 邮件,手机,邮编等格式

客户端:主要通过JavaScript来验证,过滤用户输入

服务器端:检测用户输入的合法性,强制转换用户值输入,数据库约束验证

 

三、防范跨站脚本XSS攻击

  •  实行严格的输入验证
  • 实现Session标记等
  • 进行HTML的格式化

四、防止SQL注入

客户端:

  • 过滤或者转义危险字符
  • 使用正则表达式限制输入

服务器端:

  • 控制数据库的访问权限
  • 分步验证用户名和密码
  • 对账号做加密处理

五、图片验证码

web中的安全编码_第1张图片

你可能感兴趣的:(Web)