什么是 sql 注入,xss 漏洞?
SQL注入式攻击
就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。
预防方法:
使用预编译语句,绑定变量,使用安全的存储过程,检查数据类型,
使用安全函数
XSS(Cross Site Script)跨站脚本攻击
指恶意攻击者往web页面插入恶意脚本代码,而程序对于用户输入的内容未过滤,当用户浏览该页面时,嵌入其中web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。因此,一般在表单提交或者url参数传递前,对需要的参数进行过滤。
跨站脚本攻击的危害:窃取cookie, 放蠕虫,网站钓鱼。。。
跨站脚本攻击的分类主要有:存储型XSS,反射型XSS,DOM型XSS