05——博客项目之安全 01

最新推荐文章于 2021-07-08 18:53:17 发布
最新推荐文章于 2021-07-08 18:53:17 发布
阅读量62 收藏
点赞数
分类专栏: nodejs 文章标签: nodejs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44499465/article/details/109139935
版权

1.安全

1.安全

  • sql注入:窃取数据库内容
  • xss攻击: 窃取前端的cookie 内容
  • 密码加密: 保障用户信息安全(重要)
  • server 端攻击方式非常多,预防手段非常多

sql 注入

  • 最原始、最简单的攻击,从有了web2.0 就有了sql注入攻击
  • 攻击方式:输入了一个sql片段,最终拼接成一段攻击代码
  • 预防措施: 使用 mysql 的 escape 函数处理输入内容即可
slelct username, realname from users where username='zhangsan' -- and password='123'

由于 – 是 sql的注释,就可以直接登陆了。

mysql.js

...
module.exports = {
    exec,
    escape: mysql.escape
}

escape是mysql的函数,可直接导出。

router/user.js

const {exec, escape} = require('../db/mysql')

const login = (username, password) => {
    username = escape(username)
    password = escape(password)

    const sql = `
        select username, realname from users where username=${username} and password=${password}
    `
    console.log('sql is', sql)
    return exec(sql).then(rows => {
        return rows[0] || {}
    })
}

module.exports = {
    login
}

1.通过esacpe()处理变量
2.拼接sql语句的时候要’${username}’ => ${username},去掉引号

xss 攻击

  • 攻击方式: 在页面展示内容中掺杂 js 代码,以获取网页信息
  • 预防措施:转换生成js 的特殊字符

在这里插入图片描述
在这里插入图片描述
就能获取到我们的cookie了。

解决措施

npm i xss --save

controller/blog.js

const xss = require('xss')
...
const newBlog = (blogData = {}) => {
    const title = xss(blogData.title)
    const content = blogData.content
    const author = blogData.author
    const createTime = Date.now()

xss是一个函数,用xss()包裹变量即可。

密码加密

  • 万一数据库被用户攻破,最不应该泄露的就是用户信息
  • 攻击方式:获取用户名和密码,再去尝试登陆其他系统
  • 预防措施:将密码加密,即使拿到密码也不知道明文

cryp.js

const crypto = require('crypto')  //nodejs提供的加密库

// 密匙
const SECRET_KEY = 'wJiol_8776#' // 随机取即可

// md5加密
function md5 (content) {
    let md5 = crypto.createHash('md5')
    return md5.update(content).digest('hex')
}

// 加密函数
function genPassword(password) {
    const str = `password=${password}&key=${SECRET_KEY}`
    return md5(str)
}

module.exports = {
    genPassword
}

使用

controller/user.js

const { genPassword} = require('../utils/cryp')
...
// 生成加密密码
password = genPassword(password)
_wayliu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django设置SECRET_KEY
Pert的博客
11-02 3447
在我们做完django项目后,向生产环境部署时,为了避免一些敏感信息被有心人利用,我们应该将其保护起来,比如说在settings配置中的一些密码等内容存在操作系统内,通过调用来使用,比如下面这种做法: 拿Django中的SECRET_KEY来说吧,其余如同数据库密码、邮箱密码等秘密内容都可以使用这种方式将其贮存在操作系统中。我使用的是python语言,这里要使用到python的os内置模块: os模块**:官方定义:This module provides a portable way of using.
SecretKey
forever_crying的专栏
03-09 7599
/** * 字符串加密 * @param passWord 加密密码 * @return * @throws Exception */ public static String encryptPassword(String passWord)throws Exception { // KeyGenerator keyG
【Flask】一种生成SECRET_KEY的方法
高岩 is me
11-11 3791
在终端中: →ipython →import os, base64 →a = os.urandom(66) 其中os.urandom(66),生成了一个66字节的字符串,保存到a,并且这个字符串每次都是不同的,如图: →base64.b64encode(a) →得到:'BPReyn0gMXT5uuaj/BYvZvBrz1+bzc66inOQxRth9+7EbjyTZJ5gvA6oX...
Flask --(15) Flask 和 Django 里面的 secret_key 设置有什么用
Enjolras_fuu的博客
08-28 3778
Flask 和 Django 里面的 secret_key 设置有什么用 来源: https://segmentfault.com/q/1010000007295395 问题:在 flask 与 Django 的文档中都发现需要配置 secret_key 1. 这种 secret_key 有什么用吗? 2. 如果暴露它会产生哪些安全风险? jtr109 有用的. 引用一段 Flas...
php程序secret_key,Python的Flask框架中生成SECRET_KEY密钥
weixin_39539002的博客
03-17 561
引子如果遇到了 Must provide secret_key to use csrf错误提醒,原因就是没有设置secret_key ,在代码中加上app.config[‘SECRET_KEY‘]=‘xxx‘SECRET_KEY最好不要写在代码中。最好设置一个config.py文件,从中读取该内容config.pyCSRF_ENABLED = TrueSECRET_KEY = ‘you-will-...
四、WEB安全 04——HTML DIV CSS博客项目
qwsn
07-08 1669
四、WEB安全04——HTML DIV CSS博客项目 1、HTML DIV CSS基础项目 01——博客网站布局设计、导航栏的编写 (1)布局设计 <head> <style> *{ margin: 0px; padding: 0px; } body{ background: #f5f5f5; line-height: 1.8px; font-size: 14px; font-family: Segoe UI; } &lt
施舜腾的博客项目.rar
03-20
《施舜腾的博客项目——一个适合初学者的SpringBoot实战》 本项目是一个由施舜腾提供的适合初学者的博客系统,旨在帮助新手积累实践经验,提升编程技能。项目采用了一系列现代Java技术栈,包括前端的Semantic UI,...
博客系统——myxiaowang.rar
03-21
下面,我们将深入探讨博客系统的核心知识点,包括数据库的设计、数据操作以及与之相关的功能模块。 首先,"news——文章表.jpg" 显然是博客系统中存储文章信息的数据表结构图。通常,这样的表会包含字段如文章ID...
django——从博客开始
04-22
学习Python和Django的最佳方式之一就是实践,而创建一个博客系统是初学者常常选择的项目。这个项目将涵盖Python语言基础、Django框架的安装与设置、数据库交互、模板引擎使用、URL路由、视图函数以及表单处理等核心...
Android源码——WordPress应用博客平台.zip
10-08
**Android源码——WordPress应用博客平台** 在移动设备上,WordPress是广受欢迎的博客和内容管理系统,它提供了强大的自定义性和可扩展性。这个压缩包包含的“Android源码——WordPress应用博客平台”是一个深入...
JSP源码——博客系统(struts+hibernate+spring).zip
10-06
《JSP源码——博客系统(struts+hibernate+spring)》是一个基于Java Web技术构建的开源项目,它展示了如何使用Struts、Hibernate和Spring这三大框架来开发一个功能完善的博客系统。这个压缩包中包含了整个系统的源...
SECRET_KEY的重要性
lendq的Blog
12-02 2万+
SECRET_KEY SECTET_KEY 在 django在加密,安全方面都有很突出的用处 json object的签名 SELECT_KEY作用本质上是一个加
Access Key / Secret key 密钥安全原理架构
热门推荐
lishirong_李世荣的专栏
10-18 4万+
最近在研究通信安全方面的东西,看到七牛这篇文章写得不错,转载一下: 安全机制 数据安全性是云存储服务的重中之重。云存储的安全机制主要需要考虑以下几个因素: 如何判断该请求方是否合法,且对目标空间有相应的访问权限。 因为服务的访问协议同时支持HTTP和HTTPS,服务端需要判断收到的请求是否经过篡改。 相比上传新资源,覆盖文件或删除已有资源拥有更高的风险。因此对上传
SECRET_KEY&密钥
weixin_42696066的博客
08-23 1万+
SECRET_KEY配置变量是通用密钥,可在Flask和多个第三方扩展中使用,如其名所示,加密的强度取决于变量值的机密度,不同的程序使用不同的密钥 作用:主要是在其加密的过程中作为算法的一个参数,这个值的复杂度影响到了数据传输和存储时的复杂度 考虑到安全性,密钥最好存储在系统的环境变量中 下面生成密钥的一种方法: import os import base64 key = os.uran...
chromedriver-mac-arm64_126.0.6474.0.zip
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
chromedriver-mac-arm64_128.0.6548.0.zip
07-31
chromedriver-mac-arm64_128.0.6548.0.zip
MySQL查询加速器:利用Query Cache提升效率
07-31
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
Objective-C语言的基础教程.md
最新发布
07-31
Objective-C是一种面向对象的编程语言,是C语言的扩展。它主要用于苹果的iOS和macOS应用程序开发。
暂存暂存暂存暂存暂存暂存暂存暂存
07-31
暂存暂存暂存暂存暂存暂存暂存暂存
"基于SSM的个人博客系统设计与研究——需求分析、设计实现与展望
本课题旨在通过基于SSM的个人博客系统的设计与开发,解决现有个人博客管理系统的不足之处,使其更加方便、快捷、安全、高效。个人博客作为展现个性的一种方式,在互联网时代受到了广泛的关注和喜爱。人们可以通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值