【PHP面试宝典1000题】如何防范SQL,XSS,CSRF攻击 (深圳天玖隆科技)

主要通过校验用户输入信息,过滤用户输入信息,以及关闭错误信息显示等方法。

一、SQL注入:将恶意的SQL命令通过表单提交等方式注入到后台数据库引擎进行执行,从而泄露数据库信息

      1.输入验证

      2.错误消息处理

      3.加密处理

      4.使用专业的漏洞扫描工具

二、XSS:跨站脚本攻击,指恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时代,码会被执行,从而达到恶意攻击用户    的目的。

     1.trim()清空空格

     2.strp_tags()过滤html标签

     3.htmlspecialchars() 将字符内容转为html实体

三、CSRF: 跨站请求伪造,它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站

    1.验证http_reffer字段

    2.在请求中添加token并验证

    

展开阅读全文

没有更多推荐了,返回首页