主要通过校验用户输入信息,过滤用户输入信息,以及关闭错误信息显示等方法。
一、SQL注入:将恶意的SQL命令通过表单提交等方式注入到后台数据库引擎进行执行,从而泄露数据库信息
1.输入验证
2.错误消息处理
3.加密处理
4.使用专业的漏洞扫描工具
二、XSS:跨站脚本攻击,指恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时代,码会被执行,从而达到恶意攻击用户 的目的。
1.trim()清空空格
2.strp_tags()过滤html标签
3.htmlspecialchars() 将字符内容转为html实体
三、CSRF: 跨站请求伪造,它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站
1.验证http_reffer字段
2.在请求中添加token并验证