1. SQL注入
主要是由于sql语句使用字符串拼接,黑客上传的字符串很有可能彻底改变原字符串的作用,杀伤力极强。解决办法就是使用绑定参数的办法生成sql语句,或者使用mybatis等框架进行绑定参数。
2. XSS 跨站脚本攻击
主要分为反射型、存储型、DOM型。
主要是黑客使用技术手段,在用户的html中插入恶意脚本。或者通过抢红包、中奖信息等假消息诱导用户将代码粘贴到浏览器console中运行。打个比方就是,黑客在你要吃的苹果里面放了一条大肉虫。
3. CSRF 跨站请求伪造
在用户不知情的情况下,冒用用户发起请求。打个比方,就是黑客偷走了你的银行卡,然后偷偷转走了100块(斜眼笑)。