web安全
南乡子_
\(^o^)/~
展开
-
php安全(一):sql注入
SQL注入是一种利用未过滤/未审核用户输入的攻击方法,意思就是让应用运行本不应该运行的SQL代码。通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,就会造成一些出人意料的结果,最终达到欺骗服务器执行恶意的SQL命令。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。防攻击办法:1)检查变量数据类型和格式 1、使用正...原创 2018-05-29 10:20:44 · 307 阅读 · 0 评论 -
php安全(二):xss攻击
XSS 全称为 Cross Site Scripting,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,进而达到某些人的攻击目的。分类1、XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。2、XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击...原创 2018-05-29 12:30:32 · 371 阅读 · 0 评论 -
php安全(三):csrf攻击
CSRF(Cross-site request forgery),中文名称:跨站请求伪造。首先要获取站点用户登录信息,然后冒充正常用户登录,进行破坏活动,受害方为正常用户和站点。csrf攻击无法完全防范,只能提高攻击的门槛。防御方法:1.改良站内 API 的设计 对于发布帖子这一类创建资源的操作,应该只接受 POST 请求,而 GET 请求应该只浏览而不改变服务器端资源。最理想的...原创 2018-06-01 16:42:54 · 935 阅读 · 0 评论 -
认识JWT
JWT 是什么 JWT组成 原理 基本用法 1. 优势 2.使用流程 3.刷新策略 4.blacklist 5.并发问题 使用 jwt 也有一段时间了,感觉还是蛮方便的。写一篇文章总结一下。 JWT 是什么 JWT(JSON Web Token)是一个字符串,我们在发起网络请求时,将其放在header或者url中,这样可以保证传递的数据被篡改时能被我...原创 2018-08-17 17:08:00 · 330 阅读 · 0 评论