一. XSS (cross site script) 恶意攻击者往Web页面里插入恶意html代码
防御: 使用htmlspecialchars函数将特殊字符转换成HTML编码,过滤输出的变量
二. CSRF (Cross-site request forgery) 通过伪装来自受信任用户的请求来利用受信任的网站。
防御: 采用类似随即码或者令牌的形式,让用户操作唯一性。 (每次用户登录网站随机生成一token,存放在cookie中,用户的所有操作中都需要经过token验证)
三. SQL注入 攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令
防御:绑定变量,使用预处理语句