常见web安全及防护原理

常见web安全及防护原理

sql 注入原理

就是通过把 SQL 命令插⼊到 Web 表单递交或输⼊域名或⻚⾯请求的查询字符串，最终达到欺骗服务器执⾏恶意的SQL命令

1.1 永远不要信任⽤户的输⼊，要对⽤户的输⼊进⾏校验，可以通过正则表达式，或限制⻓度，对单引号和双 "-" 进⾏转换等 

1.2 永远不要使⽤动态拼装SQL，可以使⽤参数化的 SQL 或者直接使⽤存储过程进⾏数据查询存取 

1.3 永远不要使⽤管理员权限的数据库连接，为每个应⽤使⽤单独的权限有限的数据库连接 

1.4 不要把机密信息明⽂存放，请加密或者 hash 掉密码和敏感的信息

XSS原理及防范

Xss(cross-site scripting) 攻击指的是攻击者往 Web ⻚⾯⾥插⼊恶意 html 标签或者 javascript 代码。
⽐如：攻击者在论坛中放⼀个看似安全的链接，骗取⽤户点击后， 窃取 cookie 中的⽤户私密信息；
或者攻击者在论坛中加⼀个恶意表单，当⽤户提交表单的时候，
却把信息传送到攻击者的服务器中，⽽不是⽤户原本以为的信任站点

⾸先代码⾥对⽤户输⼊的地⽅和变量都需要仔细检查⻓度和对 ”<”,”>”,”;”,”’” 等字符做过滤；

其次任何内容写到⻚⾯之前都必须加以encode，
避免不⼩⼼把 html tag 弄出来。这⼀个层⾯做好，⾄少可以堵住超过⼀半的 XSS 攻击

XSS与CSRF有什么区别吗？

XSS 是获取信息，不需要提前知道其他⽤户⻚⾯的代码和数据包。 

CSRF 是代替⽤户完成指定的动作，需要知道其他⽤户⻚⾯的代码和数据包。
要完成⼀次 CSRF 攻击，受害者必须依次完成两个步骤
1.1 登录受信任⽹站 A ，并在本地⽣成 Cookie
1.2 在不登出 A 的情况下，访问危险⽹站 B

CSRF的防御

1.1 服务端的 CSRF ⽅式⽅法很多样，但总的思想都是⼀致的，就是在客户端⻚⾯增加伪随机数

1.2 通 过验证码的⽅法