杂文 第4页

pren 发布于 2021-10-25

上述关于XSS攻击的防护非常简单，但是不包含用户的所有标记，同时有上百种绕过过滤函数提交javascript代码的方法，也没有办法能完全阻止这个情况。 目前，没有一个单一的脚本能保证不被攻击突破，但是总有相对来说防护程度更好的。一共有两个安全防护的方式：白名单和黑名单。其中白名单...

阅读(330)评论(0)赞 (0)标签：XSS攻击

pren 发布于 2021-10-25

XSS攻击不像其他攻击，这种攻击在客户端进行，最基本的XSS工具就是防止一段javascript脚本在用户待提交的表单页面，将用户提交的数据和cookie偷取过来。 XSS工具比SQL注入更加难以防护，各大公司网站都被XSS攻击过，虽然这种攻击与php语言无关，但可以使用php来...

阅读(285)评论(0)赞 (0)标签：XSS攻击

pren 发布于 2021-10-25

对于操作数据库的SQL语句，需要特别注意安全性，因为用户可能输入特定语句使得原有的SQL语句改变了功能。类似下面的例子： $sql = "select * from pinfo where product = '$product'"; 此时如果用户输入的$product参数为： ...

阅读(383)评论(0)赞 (0)标签：sql注入

pren 发布于 2021-10-25

不相信表单 对于一般的Javascript前台验证，由于无法得知用户的行为，例如关闭了浏览器的javascript引擎，这样通过POST恶意数据到服务器。需要在服务器端进行验证，对每个php脚本验证传递到的数据，防止XSS攻击和SQL注入 不相信用户 要假设你的网站接收的每一条数...

阅读(232)评论(0)赞 (0)标签：网站安全