xss,csrf,SQL注入

最新推荐文章于 2024-04-14 21:49:28 发布
最新推荐文章于 2024-04-14 21:49:28 发布
阅读量1k 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/angle_jian/article/details/79378867
版权

一、Xss

1、定义:跨站脚步攻击,过滤用户表单提交的数据
2、防范措施:
       a.使用PHP内置函数:htmlspecialchars(),strip_tags,trim,addslashes。
        b.PHP所有打印的语句如echo,print等,在打印前都要使用htmlentities() 进行过滤,

          这样可以防止Xss,注意中文要写htmlentities($name,ENT_NOQUOTES,GB2312)

        c.php防注入和XSS攻击通用过滤函数

            

 
 
  1. <?php
  2. //php防注入和XSS攻击通用过滤. 
  3. //by qq:831937
  4. $_GET && SafeFilter($_GET);
  5. $_POST && SafeFilter($_POST);
  6. $_COOKIE && SafeFilter($_COOKIE);
  8. function SafeFilter (&$arr) 
  9. {
  11. $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/','/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/','/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/','/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');
  13. if (is_array($arr))
  14. {
  15. foreach ($arr as $key => $value) 
  16. {
  17. if (!is_array($value))
  18. {
  19. if (!get_magic_quotes_gpc()) //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。
  20. {
  21. $value = addslashes($value); //给单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)加上反斜线转义
  22. }
  23. $value = preg_replace($ra,'',$value); //删除非打印字符,粗暴式过滤xss可疑字符串
  24. $arr[$key] = htmlentities(strip_tags($value)); //去除 HTML 和 PHP 标记并转换为 HTML 实体
  25. }
  26. else
  27. {
  28. SafeFilter($arr[$key]);
  29. }
  30. }
  31. }
  32. }
  33. ?>
 
 
 

 

 二、CSRF
 


       1、定义:跨站请求伪造(攻击者盗用了你的身份,以你的名义发送恶意请求) 

 


        2.CSRF攻击原理及过程如下: 

 


                 a. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 

 

 
 

                b.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
 

                 c. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
 

                 d. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
 

                 e. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。
 
 
 


         3.防范措施: 

 


              a.在HTTP请求中增加token并验证 
 
 

 


              b.在HTTP头中自定义属性并验证 
 
 

 


              c.验证 HTTP Referer 字段 
 
 

 


              d.增加验证码机制(图片验证码) 
 
 

 


           

 

 
 
 

 

 
 三、SQL注入 
 
 

 

 
      1.坚持两个原则 

 


              a.对输入的数据进行过滤(addslashes()) 
 
  

 


              b.转义用于向数据库发出的数据(mysql_real_escape_string()) 
 
 

 


              c. 
 使用支持参数化查询语句和占位符的数据库操作类(如PEAR::DB, PDO等),你就会多得到一层保护 
 
 

 

 
            d.过滤输入 
 
 
            e.变量类型限制 
 
 
            f.采用PDO操作数据库 
 
  

 

 
            g.配置好数据库的用户权限
  

 

 四、就是在PDO底层是如何处理该sql语句的,可以这么有效的防止注入问题

                

        

        

    




    

      

        

            

              
                
                  爬虫小霸王
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
PHP开发中常见的安全问题详解和解决方法(如Sql注入CSRFXss、CC等)

				
			

			

				

					10-26
				

			

		

		

			
				
主要介绍了PHP开发中常见的安全问题详解和解决方法,详细介绍了例如Sql注入CSRFXss、CC等攻击手段的背景知识以及解决方法,需要的朋友可以参考下

			
		

	



                

              
                



	

		

			

				
					
预防XSS攻击和SQL注入XssFilter

				
			

			

				

					05-19
				

			

		

		

			
				
(10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等;  三、过滤器配置 web.xml配置    XssFilter  com.xxx.Filter.XssFilter        XssFilter...

			
		

	



                


  
              

                


	

		

			

				
					
XSSCSRFSQL注入

				
			

			

				

					qq_40821997的博客
				

				

					06-05
					
					398
					
				

			

		

		

			
				
跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session    riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。flask 模仿csrf攻击 与 保护:https://www.cnblogs.com/love2000/p/13678360.html(1)场景一(2)场景二跨站请求可以用什么方式:CSRF常见的攻击类型:
(1)GET类型的CSRF(2)

			
		

	





	

		

			

				
					
一文搞懂XSS攻击、SQL注入CSRF攻击、DDOS攻击和DNS劫持

				
			

			

				

					wuli1024的博客
				

				

					11-27
					
					451
					
				

			

		

		

			
				
网络安全基础入门、Linux、web安全、攻防方面的视频。网络安全基础入门、Linux、web安全、攻防方面的视频。200多本网络安全系列电子书。200多本网络安全系列电子书。网络安全标准题库资料。Referer 检测。网络安全标准题库资料。

			
		

	



		

			
		



	

		

			

				
					
SQL注入XSSCSRF漏洞的复现及分析

					
最新发布

				
			

			

				

					Kali与编程
				

				

					04-14
					
					382
					
				

			

		

		

			
				
总结起来,SQL注入XSSCSRF都是常见且危害严重的Web漏洞。理解这些漏洞的复现方法和原理有助于我们更好地制定针对性的安全策略,并通过实施有效的防御措施来保护Web应用不受此类攻击的侵害。攻击者可以在自己的网站上创建类似的表单,诱使用户在其不知情的情况下触发此表单提交,完成转账。当其他用户浏览包含此评论的页面时,会弹出警告框,表明存在XSS漏洞。SQL注入XSSCSRF漏洞的复现及分析。二、跨站脚本攻击(XSS)漏洞复现与分析。一、SQL注入漏洞复现与分析。

			
		

	





	

		

			

				
					
常见网络攻击及防御方法总结(XSSSQL注入CSRF攻击)

				
			

			

				

					xiaohui的博客
				

				

					04-05
					
					3814
					
				

			

		

		

			
				
  从互联网诞生之初起,无时无刻不存在网络攻击,其中XSS攻击和SQL注入攻击是网站应用攻击的最主要的两种手段,全球大约70%的网站应用攻击都来自XSS攻击和SQL注入攻击。此外,常用的网站应用攻击还包括CSRF、Session劫持等。
1、 XSS攻击
  XSS攻击即跨站点脚本攻击(Cross Site Script),指的是攻击者通过篡改网页,注入恶意的HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。
  常见的XSS攻击类型有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶

			
		

	





	

		

			

				
					
PHP 解决XSS和会话重放

				
			

			

				

					design321的专栏
				

				

					08-08
					
					714
					
				

			

		

		

			
				
XSS:


function safeFilter ($data) 
{
   $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/',...

			
		

	





	

		

			

				
					
织梦会员和图集模型编辑文档checkbox多选字段失效逗号,被过滤问题

				
			

			

				

					zhang01457的博客
				

				

					04-01
					
					344
					
				

			

		

		

			
				
织梦逗号被过滤问题的表现

图集模型编辑文档checkbox多选字段失效
	图集模型编辑文档逗号被过滤
	tag标签的逗号失效
	高级搜索多选逗号被过滤
	会员发布文档自定义字段逗号被过滤
会员自定义字段内容逗号被过滤解决方法

打开 /member/config.php 找到,大概在第19行


if(in_array($key,array('tags','body','dede_fields'...

			
		

	





	

		

			

				
					
java web Xsssql注入过滤器.zip

				
			

			

				

					04-22
				

			

		

		

			
				
本项目"java web Xsssql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。  XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...

			
		

	





	

		

			

				
					
Yii框架防止sql注入xss攻击与csrf攻击的方法

				
			

			

				

					10-21
				

			

		

		

			
				
主要介绍了Yii框架防止sql注入xss攻击与csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入xss攻击与csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下

			
		

	





	

		

			

				
					
详解XSS攻击、SQL注入攻击、CSRF攻击

				
			

			

				

					hello
				

				

					11-26
					
					1677
					
				

			

		

		

			
				
1、xss攻击

1.1 什么是xss攻击

XSS全称cross-site scripting(跨站点脚本),是当前 web 应用中最危险和最普遍的漏洞之一。攻击者向网页中注入恶意脚本,当用户浏览网页时,脚本就会执行,进而影响用户,比如关不完的网站、盗取用户的 cookie 信息从而伪装成用户去操作,携带木马等等。

1.2 xss分类

反射型XSS(非持久性跨站攻击)
	存储型XSS(持久性跨站攻击)
	DOM Based XSS(基于 dom 的跨站点脚本攻击)
1.2.1 反射型XSS(非持久性跨

			
		

	





	

		

			

				
					
一文搞懂 XSS攻击、SQL注入CSRF攻击、DDOS攻击、DNS劫持

				
			

			

				

					国内某知名游戏公司小菜鸡工程师
				

				

					08-08
					
					5218
					
				

			

		

		

			
				
学好网络安全,以己之矛护己之盾

			
		

	





	

		

			

				
					
CSRFXSSSQL注入、DDOS攻击、时序攻击分别是什么以及怎么防范

				
			

			

				

					yang_ldgd的博客
				

				

					09-15
					
					1067
					
				

			

		

		

			
				
CSRFXSSSQL注入、DDOS攻击、时序攻击分别是什么以及怎么防范

			
		

	





	

		

			

				
					
常见的  CSRFXSSsql注入、DDOS流量攻击

				
			

			

				

					echo_laodong的博客
				

				

					02-05
					
					6911
					
				

			

		

		

			
				
CSRF攻击 :跨站请求伪造攻击 ,CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRFXSS更具危险性
       攻击者一般会使用吸引人的图片去引导用户点击进去他设定好的全套,然后你刚登录的A网站没有关闭,这时候攻击者会利用JS事件去模拟用户请求A网站信息,从而就得到了目的。预防措施:为表单提交都加上自己定义好的token然后加密好,后台也

			
		

	





	

		

			

				
					
web开发常见安全问题(SQL注入XSS攻击、CSRF攻击)

					
热门推荐

				
			

			

				

					star
				

				

					04-16
					
					1万+
					
				

			

		

		

			
				
web开发常见安全问题(SQL注入XSS攻击、CSRF攻击)

			
		

	





	

		

			

				
					
SQL 注入、XSS 攻击、CSRF 攻击

				
			

			

				

					weixin_33910434的博客
				

				

					09-22
					
					1183
					
				

			

		

		

			
				
SQL 注入、XSS 攻击、CSRF 攻击


SQL 注入


什么是 SQL 注入
SQL 注入,顾名思义就是通过注入 SQL 命令来进行攻击,更确切地说攻击者把 SQL 命令插入到 web 表单或请求参数的查询字符串里面提交给服务器,从而让服务器执行编写的恶意的 SQL 命令。
对于 web 开发者来说,SQL 注入已然是非常熟悉的,而且 SQL 注入已经生存了 10 多...

			
		

	





	

		

			

				
					
Web攻防之XSS,CSRF,SQL注入

				
			

			

				

					weixin_30536513的博客
				

				

					03-11
					
					399
					
				

			

		

		

			
				
摘要:对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法。
关键字:SQL注入XSSCSRF
1.SQL注入
  所谓SQL注入式攻击,就是攻击者把SQL命令插入到W...

			
		

	





	

		

			

				
					
web安全问题:SQL注入XSSCSRF

				
			

			

				

					愤怒的小火柴人
				

				

					05-04
					
					963
					
				

			

		

		

			
				
对于一个前端网页,并不是运行起来,部署完了就大功告成了,因为,总有一些攻击手段会让你的网站崩坏。

			
		

	





	

		

			

				
					
web安全性之XSS,CSRF,SQL注入

				
			

			

				

					止水
				

				

					06-19
					
					1267
					
				

			

		

		

			
				
web安全性主要侧重于对web服务器的攻击,这种攻击有 常见的sql注入,跨站脚本攻击(xss),跨站请求伪造(csrfsql注入

基本概念:

其本质就是,项目中把用户数据与代码进行了拼接,形成了可执行的sql语句
攻击者把sql命令插入到web表单的输入或者页面请求的查询字符串(url),欺骗服务器执行恶意的sql命令
攻击者在web页面预先定义好的sql语句结尾加上额外的sql语句元素...

			
		

	





	

		

			

				
					
xsscsrfsql注入

				
			

			

				

					07-28
				

			

		

		

			
				
XSS(跨站脚本攻击),CSRF(跨站请求伪造)和SQL注入是常见的Web安全漏洞。

XSS攻击是指攻击者通过在网页中注入恶意脚本,使得用户在浏览网页时执行这些脚本,从而获取用户的敏感信息或者进行其他恶意操作。为了防止XSS攻击,可以对用户输入的数据进行转义,比如将特殊字符进行转义,限制用户输入的数据类型,过滤掉可能包含恶意脚本的标签等措施。\[3\]

CSRF攻击是指攻击者利用用户已经登录的身份,在用户不知情的情况下发送恶意请求,从而执行一些非法操作。为了防止CSRF攻击,可以使用CSRF令牌来验证请求的合法性,每次用户登录时都会轮换CSRF令牌,确保每个请求都携带有效的令牌。\[2\]

SQL注入是指攻击者通过在Web表单递交或输入域名或页面请求的查询字符串中插入恶意的SQL命令,从而实现未授权访问数据库或者篡改数据库的操作。为了防止SQL注入,可以对用户输入的参数进行校验和过滤,使用参数化语句而不是拼接字符串的方式生成SQL语句,限制数据库连接的权限,检查数据存储类型等措施。\[1\]

综上所述,为了防止XSSCSRFSQL注入攻击,需要对用户输入的数据进行校验和过滤,使用安全的编程框架和技术,限制权限,加密重要信息等措施。
#### 引用[.reference_title]
-  *1* *3* [详解XSS攻击、SQL注入攻击、CSRF攻击](https://blog.csdn.net/zj420964597/article/details/110179161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item]
-  *2* [XSSCSRF、以及SQL注入](https://blog.csdn.net/weixin_34226182/article/details/94047120)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item]
[ .reference_list ]

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值