Mysql、XSS 防御

最新推荐文章于 2024-04-11 14:12:49 发布
最新推荐文章于 2024-04-11 14:12:49 发布
阅读量678 收藏
点赞数 1
分类专栏: 遇到过的一些坑
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33020901/article/details/51729027
版权
安装服务过程出现的安全问题
***************************************************

安装 PHP+Apache+Mysql 完整过程 包括一些安全修改项
http://wenku.baidu.com/link?url=3cB0Xms3BK1vX_9RQ3EWDgAttt7Ldw4_0nsPfAQIa0RcfKAwtiyLf90SBuZJXlYztTmYAiqyooAqw8uTlAI6QVA8CZ1He924PbUNd41B2Xe
***************************************************
        http://www.jb51.net/article/47727.htm  :::  mysql_secure_installation 运行过程 ...
安装完mysql-server 会提示可以运行mysql_secure_installation。运行mysql_secure_installation会执行几个设置:
  a)为root用户设置密码
  b)删除匿名账号
  c)取消root用户远程登录
  d)删除test库和对test库的访问权限(为什么删除test数据库? ->http://www.cnblogs.com/AloneSword/archive/2013/12/04/3457243.html)
  e)刷新授权表使修改生效

***************************************************
保障MySQL数据库安全的14个最佳方法
http://tech.it168.com/a2013/1227/1579/000001579659_1.shtml

原则1:不要在页面中插入任何不可信数据,除非这些数已经据根据下面几个原则进行了编码
    <script>…不要在这里直接插入不可信数据…</script>直接插入到SCRIPT标签里
    <!– …不要在这里直接插入不可信数据… –>
    插入到HTML注释里
 
    <div 不要在这里直接插入不可信数据=”…”></div>
    插入到HTML标签的属性名里
 
    <div name=”…不要在这里直接插入不可信数据…”></div>
    插入到HTML标签的属性值里
 
    <不要在这里直接插入不可信数据 href=”…”></a>
    作为HTML标签的名字
 
    <style>…不要在这里直接插入不可信数据…</style>
    直接插入到CSS里

原则2:在将不可信数据插入到HTML标签之间时,对这些数据进行HTML Entity编码
    &     –>     &amp;
    <     –>     &lt;
    >     –>     &gt;
    ”     –>     &quot;
    ‘     –>     '
    /     –>     /


原则3:在将不可信数据插入到HTML属性里时,对这些数据进行HTML属性编码
    HTML属性编码   &#xHH; (以&#x开头,HH则是指该字符对应的十六进制数字,分号作为结束符)
testcode    <div width=$INPUT> …content… </div>
inputcode    x οnmοuseοver=”javascript:alert(/xss/)”
aftercode    &lt;div width=x οnmοuseοver=”javascript:alert(/xss/)”&gt; …content… &lt;/div&gt;


原则4:在将不可信数据插入到SCRIPT里时,对这些数据进行SCRIPT编码
    
    在对不可信数据做编码的时候,千万不能图方便使用反斜杠( \ )对特殊字符进行简单转义,比如将双引号 ” 转义成 \”

    ,这样做是不可靠的,因为浏览器在对页面做解析的时候,会先进行HTML解析,然后才是JavaScript解析,所以双引号很可    

能会被当做HTML字符进行HTML解析,这时双引号就可以突破代码的值部分,使得攻击者可以继续进行XSS攻击
testcode    <script>
        var message = ” $VAR “;
        </script>

inputcode    \”; alert(‘xss’);//

aftercode    <script>
        var message = ” \\”; alert(‘xss’);// “;
        </script>

原则5:在将不可信数据插入到Style属性里时,对这些数据进行CSS编码
    <style>selector { property : …插入不可信数据前,进行CSS编码…} </style><style>selector { property : ” …插    

入不可信数据前,进行CSS编码… “} </style>
    <span style=” property : …插入不可信数据前,进行CSS编码… ”> … </span>

    格式为 \HH

原则6:在将不可信数据插入到HTML URL里时,对这些数据进行URL编码

原则7:使用富文本时,使用XSS规则引擎进行编码过滤
PD_3569
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MYSQL与SQL注入和XSS基础
weixin_65695770的博客
04-07 3928
MYSQL与SQL注入 mysql知识点- 基本查询语句 查询表中全部信息: select *from 表明-关键的函数 select+以下语句 version() 数据库版本 database() 数据库名 user() 用户名 current_user() 当前用户名 system_user() 系统用户名 @@datadir 数据库路径 @@version_compile_os 操作系统...
XSS漏洞(xss_and_mysql_file靶场实战)——渗透day10
qq_62716256的博客
09-07 2000
XSS漏洞(xss_and_mysql_file靶场实战)——day10
XSS攻击与MySQL注入漏洞攻击手法
Idealismi的博客
04-11 774
存储型XSS攻击的一个典型场景是留言板、博客和论坛等,当恶意用户在某论坛页面 发布含有恶 意的Javascript代码的留言时,论坛会将该用户的留言内容保存在数据 库或文件中并作为页面内 容的一部分显示出来。在使用盲注的时候,需要使用到substring(),mid(),limit。攻击者提交一段XSS代码后,服务器接收并存储,当其他用户访问包含该XSS代码的 页面时, XSS代码被浏览器解析并执行。①.16进制绕过(会使用到引号的地方是在于最后的where子句中)。
安全测试之xss攻击和mysql注入
weixin_30652897的博客
03-18 198
xss概念:xss(Cross Site Script)跨站脚本攻击,为不和层叠样式表(css)混淆,写为xss存在位置:web应用系统最常见软件安全漏洞后果:代码植入到系统页面,篡改数据、盗取系统私密数据等非法目的 常见XSS攻击方式1、往页面表单提交恶意的js脚本代码2、通过alert来攻击3、通过image来攻击4、通过iframe来攻击5、通过a来攻击 xss攻击能够实现的原...
实验三 XSS和SQL注入
2201_75406260的博客
12-26 159
1. XSS(跨站脚本攻击):XSS是一种网络攻击,攻击者通过在目标网站中注入恶意脚本,使得用户在访问被注入脚本的页面时,恶意脚本在用户的浏览器中执行,窃取用户的敏感信息。此外,我们还尝试了不同的XSS攻击方式,发现反射型和存储型攻击都能够成功。2. SQL注入:SQL注入是一种针对数据库的攻击手段,攻击者通过在输入字段中注入SQL代码,使数据库执行非预期的查询或命令,从而窃取、篡改或删除数据。SQL注入实验:在SQL注入实验中,我们发现当用户在搜索框中输入特定的SQL代码时,数据库会返回非预期的结果。
xss平台搭建源码,xss漏洞练习
06-03
2. 数据库准备:使用MySQL等数据库管理系统,创建一个名为`xss-sql`的数据库。这通常涉及登录数据库管理工具,运行SQL脚本来创建数据库结构和初始化数据。 3. 导入数据:将包含的数据库文件导入到刚才创建的`xss-sql...
XSS平台bxss源码
03-17
通过深入研究bxss源码,不仅可以提升对XSS攻击和防御的理解,还能掌握PHP编程、Web安全、数据库管理和浏览器扩展开发等多个领域的技能。这对于网络安全研究人员、Web开发者以及信息安全专业人员来说,都是一份宝贵的...
php+mysql网站开发项目式教程
最新发布
05-29
- 输入验证:学习如何使用filter_var()函数和其他方法验证用户输入,防止跨站脚本(XSS)和SQL注入。 - 密码哈希:理解密码安全存储的重要性,使用PHP的password_hash()和password_verify()函数。 - CSRF保护:...
php+mysql动态网站开发.rar
12-17
8. **安全实践**:包括但不限于SQL注入防御XSS防护、CSRF防范、输入验证等,都是开发过程中需要关注的安全要点。 9. **性能优化**:如查询优化、缓存策略(如使用memcached或redis)、减少数据库连接开销等,都是...
php+mysql 经典案例分析
09-30
12. 安全性最佳实践:除了上述的SQL注入和XSS防护,还需要关注其他安全问题,如CSRF(跨站请求伪造)防御、密码哈希存储、防止目录遍历等。 13. 性能优化:包括缓存技术(如APC、Memcached、Redis)、数据库查询...
mysql-防止XSS攻击
weixin_30445169的博客
01-09 320
1,防止Xss攻击 数据库查询数据操作,为了防止注入,要执行参数化查询,也就是直接利用execute直接进行sql语句的执行, 因为exexute本身就有接收语句变量的参数位, execute()函数本身就有接受SQL语句变量的参数位,只要正确的使用(直白一点就是:使用”逗号”,而不是”百分号”)就可以对传入的值进行correctly转义,从而避免SQL注入的发生。 curso...
mysql防止xss攻击_php防止SQL注入攻击与XSS攻击的方法
weixin_39991926的博客
01-28 205
php防止SQL注入攻击与XSS攻击的方法在php中防止SQL注入攻击与XSS攻击的二个简单方法,感兴趣的朋友可以参考下,就跟随百分网小编一起去了解下吧,想了解更多相关信息请持续关注我们应届毕业生考试网!本节内容:SQL注入攻击与XSS攻击的防范方法在php编程中,所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss。注意,中文要写出...
xss攻击获取mysql数据,XSS漏洞攻击教程:
weixin_42316952的博客
03-27 929
XSS分类:1.反射型XSS(非持久型);2.存储型XSS((持久型);3.DOM XSS(文档对象型).图片发自简书App图片发自简书App反射型XSS:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码,这个过程称为反射型XSS.反射型XSS简单例子:echo $_GET['x'];?>注:...
mysql防止xss攻击_预防XSs和sql注入常见分析
weixin_42462007的博客
01-28 606
SQL注入简介SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一...
网络安全之xss之安装篇mysql
newway007的博客
01-21 590
这一篇主要讲关于xss前期安装。 在网上找了一个小的demo去尝试xss攻击。 首先需要安装数据库mysql,(去官网找了一个比较老的版本,网上攻略说新版本收费?) 然后几乎一路默认安装下来。 我昨天傻傻地把默认端口3306改成了3000...结果后期一直在各种改端口。。。因为是初入手的关系,感觉demo里面全是使用3306端口,然后不知道为什么老报错3306什么什么orz。 ...
xss攻击获取mysql数据_了解sql注入、xss攻击及解决
weixin_39710288的博客
02-07 529
用户登录,我们需要去查询用户表(users),对比用户名(username)和密码(password)SQL语句:// 正常select * from users WHERE username="zhangsan" and password="524abb53cce35"// sql注入 用户名写入:zhangsan'--select * from users WHERE username='zh...
XSS和SQL注入的汇总
whucaodi的专栏
08-17 4253
SQL注入的问题 PHP自带的几个防止SQL注入的函数 1.php.ini 中的magic_quotes_gpc配置      为了防止SQL注入,PHP自带一个功能可以对输入的字符串处理,可以在较低层对输入进行安全上的初步处理,也就是Magic Quotes。(php.magic_quotes_gpc)。默认情况下开启,如果magic_quotes_gpc选项启用,那么输入的字符串
XSS跨站脚本攻击(一)----XSS攻击的三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值