web优化及web安全攻防学习总结

最新推荐文章于 2024-05-21 13:02:38 发布
最新推荐文章于 2024-05-21 13:02:38 发布
阅读量232 收藏
点赞数
文章标签: web安全 数据库 运维
原文链接:http://www.cnblogs.com/8013-cmf/p/9593083.html
版权

web优化

前端:(高性能网站建设进阶指南

  • 使用gzip压缩(节省服务器的 网络带宽)
  • 减少http请求( 减少DNS请求所耗费的时间、 减少服务器压力、 减少http请求头)
  • 使用cdn(用户可以从cdn最近节点获取资源,加快网站浏览速度)
  • 添加expires头(通过这种方式,可以实现直接从浏览器缓存中读取,而不需要去服务端判断是否已经缓存)
  • 使用外部的javascript和css(缓存文件)
  • 把css放在顶部(能够优先渲染页面,让用户感觉页面加载很快)
  • 把js放在底部(js是单个加载,可能会对后续资源造成阻塞)

后端:

  • 使用Nginx做转发(负载均衡)
  • redis做缓存(减少对数据库的重复读写操作次数,减少服务器的压力)
  • 平时写代码注意(使用echo代替print。单引号和双引号。尽量使用系统自带得原生函数)
  • 服务器配置优化
  • 字段加密及压缩(防止攻击)

数据库:

  • sql优化(加索引、用left join代替where联表)
  • 主从分库、读写分离(保证数据得完整性、用来应对访问量增加,带来频繁得读写导致数据库得访问和操作性能下降得问题)

web安全攻防

sql注入:

  • 原理(SELECT * from users where id =1 or 1=1)
  • 使用转义字符串mysql_real_escape_string()过滤数据
  • 使用mysqli得预处理
  • 使用pdo

XSS攻击:

  • 使用PHP的htmlentities()函数过滤

跨站点请求伪造(CSRF)

转载于:https://www.cnblogs.com/8013-cmf/p/9593083.html

weixin_30848775
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全】---web网络安全总结
qq_53061847的博客
05-28 1万+
我们页面常见的web安全问题有: 一、保证我们的前端页面没有漏洞可循 xss跨站点脚本攻击: 不要新人任何用户的输入, 能跟用户产生交互的地方都需要对参数进行转译或者过滤 文件上传漏洞攻击: 校验文件格式, 后端限制存放文件路径的权限,限制运行脚本 SQL注入攻击: 对用户输入进行转译, 后端采用预编译的sql,不要直接使用前端参数 CSRF 跨站请求伪造 anti CSRF token: 原理是从后端拿过来的html文件会在session存储一个随机的验证信息, 每次请求都发送这个验证信息进行校
ctf,web攻防工具-御剑1.5.7z
04-06
在这样的竞赛中,Web攻防工具如御剑,可以帮助参赛者发现目标系统的漏洞和弱点。 御剑1.5版本是该工具的一个迭代更新,可能包含了性能优化、新功能添加或者对已知问题的修复。作为一款Web扫描器,它的主要功能包括...
WEB安全总结学习与心得(十四)——SSRF漏洞
weixin_44681434的博客
01-30 2074
WEB安全总结与心得(十三) 01 文件操作 操作内容 文件上传 上传Webshell;上传木马 文件下载 下载系统任意文件;下载程序代码 常见文件操作漏洞 文件上传漏洞;任意文件下载漏洞;文件包含漏洞 02 ...
web安全 学习心得
最新发布
m0_67516554的博客
05-21 441
一个服务器:(只说MySQL服务器)包含 多个数据库:一般有【1:information_schema】【2:mysql】【3:sys】【4:performence_schema】包含 多个数据表:包含 多个列,行,字段:包含 多个数据信息。
Web安全总结
sqjddb的博客
07-01 1030
SQL注入 跨站脚本攻击(XSS) 跨站请求伪造(CSRF) 文件包含漏洞 验证码技术 同源策略
常见web安全攻防总结
lyn1772671980的博客
07-14 919
Web 安全的对于 Web 从业人员来说是一个非常重要的课题 , 所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。 也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事。 本文代码 Demo 都是基于 Node.js 讲解,其他服务端语言同样可以参考。 XSS 首先说下最常见的 ...
网站攻防学习总结
bcbobo21cn的专栏
03-20 2586
Web攻防系列教程之 企业网站攻防实战 摘要:本文通过搭建一个真实的企业网站环境,先以攻击者的角度对目标网站进行入侵,最终得到目标 网站数据库中的数据。然后对整个入侵过程进行详细分析,并修复目标网站存在的安全漏洞和弱点。这 样通过对一个实例的完整分析,让读者对攻击者入侵网站的过程、以及网站安全加固都有一个直观的认 识,当遭到黑客入侵时,不再感到无从下手。 随着B/S架
web安全」阿里云大数据安全实践 - 安全体系.zip
11-09
web安全」阿里云大数据安全实践 - 安全体系 安全实践 攻防靶场 网络安全 零信任 云安全
动态异构冗余架构下Web实践及安全性分析.pdf
10-12
《动态异构冗余架构下Web实践及安全性分析》这篇论文深入探讨了在网络环境中如何应对日益严重的安全威胁问题。在当前的网络环境下,安全事件频繁发生,防守方往往处于劣势,因此,研究并实施有效的防御策略显得至关...
安全知识 菜鸟网络系统设计及优化 - reactnative.zip
11-06
安全知识 菜鸟网络系统设计及优化 - reactnative WEB应用防火墙 安全建设 漏洞分析 攻防实训 系统安全
Web安全知识体系总结
热门推荐
zp的博客
02-09 1万+
一、了解web安全 我们平时开发一般注重功能技术,而忽略了安全架构,对于怎么开发出一个安全web项目,我认为有必要做一个学习总结。 对于web安全,主要分为两大特性: ①私密性:数据不会被非法获取和利用,一般经过授权才可以访问。    ②可靠性:数据不会丢失、损坏、篡改。   对于安全问题,一般关注三个层面:①代码层面    ②架构层面   ③运维层面   二、常见的安全问题:...
学习笔记六:web安全总结
mcc的博客
06-22 364
学习笔记六:web安全总结 最近两周没怎么更新博客了,今天中午恰好有空,最近几天完成了web安全这一块的学习,就更新了这篇博文。 sql注入 手工注入(sqlabs) sqlmap注入 除了基本的扫描之外,还可以通过仿写tamper文夹里的文件来自定义模块,关于这块,印象还是比较深的,包括burpsuite改包,url编码,盲注之类的。以及一下waf绕过技术 xss DOM xss ...
网络攻防 第九周学习总结
weixin_30709061的博客
04-30 231
实验分析 Nmap扫描靶机 [nmap](http://www.cnblogs.com/murphy1994/p/6769398.html) 教材学习内容总结 本周我们学习了教材的第九章和第十章。 第九章介绍了恶意代码安全攻防。首先教材介绍了恶意代码的基础知识,恶意代码指的是使计算机按照攻击者的意图执行以达到恶意目的的指令集。恶意代码包括计算机病毒、蠕虫、后门、木马等很多种类。接下来教材介绍了恶意...
服务器端应用安全
否命题的博客
07-26 2021
SQL注入盲注Web服务器关闭了错误回显,对于攻击者就缺少了重要的调试信息,所以攻击者知道一个方法来验证SQL语句是否执行 比如http://xxxx.com/items.php?id=2 构造 http://xxxx.com/items.php?id=2 and 1=2 如果页面是空的,或者出差,可以猜测这可能存在注入的机会 再次修改 http://xxxx.com/items.php?id=2
【1】WEB安全学习----学习路线
尚未佩妥剑 转眼便江湖
08-07 3402
<script>alert('hello')</script>; 目的: 打算重新深入学习WEB安全,特此开通此博客进行学习记录,学习路线大致为以下图片所示,当前,在学习期间,学习内容可能会发生变化,如果你是新人,看到此博客,希望能对你有所帮助。 推荐新人开通自己的博客,记录下平时的学习记录。 ...
WEB安全总结学习与心得(九)——URL跳转
weixin_44681434的博客
06-30 192
WEB安全总结学习与心得(九) 01 URL跳转之简介 实现方式 1.Header头跳转 2.Javascript跳转 3.META标签跳转
网络攻防 第五周学习总结
weixin_30532759的博客
04-01 254
教材学习内容总结 WEB应用程序安全攻防 本章从WEB技术的服务端和浏览器端来分析WEB安全攻防技术的轮廓。Web应用程序是一种使用浏览器在互联网或企业内部网上进行访问操作的应用软件形态。Web应用体系有浏览器作为客户端完成数据显示和展示内容的渲染;由功能强大的服务器完成主要业务的计算和处理,两者之间通过因特网或内联网上HTTP/HTTPS应用层协议的请求与应答进行通信。服务器端由Web服务器软件...
Web安全基础总结
周游的世界
03-11 5168
Web安全基础总结   1.SQL注入(SQL Injection) 定义: 由于程序中对用户输入检查不严格,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 原因分析:     其本质是对于输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行。由于我们的部分WEB应用,采用Jsp+J
2023安天网络安全实战攻防演练专题集.pdf
07-23
2023年的《2023安天网络安全实战攻防演练庙算记》基于上一年的成功,对内容进行了优化升级,更加注重实际应用场景,以实现客户的实际安全效益。新专题不仅关注解决方案的提供,还强调了产品功能的增强和服务的实战性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值