1.sql注入。
在使用者的輸入被直接動態拼裝sql語句時,可能使用者的惡意輸入被拼到了sql語句上,而造成了一些惡意操作。比如查詢到一些資料甚至刪除一些資料。一般應對方法是對sql語句進行預處理。
thinkphp防sql注入:
2.xss cross site scripting。跨站指令碼攻擊。
想辦法讓 你 在某個**上執行 我 的js。
一般情況下,xss攻擊**會載入乙個的檔案。這樣的好處是攻擊**可以控制。只要自己修改了惡意指令碼,被攻擊者也會受到不同的攻擊。
比如盜取cookie。
3.csrf cross site request forgery 跨站請求偽造
這裡先說一下,http是無狀態的。伺服器端和瀏覽器端的身份判斷一般是通過cookie。 後端會根據請求者傳遞的cookie資訊判斷請求者的身份。 攻擊者的請求只要是帶上了目標使用者的cookie,就可以合法請求。
偽造。 請求並非使用者的意願。
實現。預防
對於普通使用者而言,別人發過來的**不要輕易點。不管它是本域的還是跨域的。
同步發表於:
常見web系統攻擊方式歸納
常見web系統攻擊方式歸納 sql注入 常見於分頁功能或者查詢功能,對於傳入的引數未進行安全字元轉義或者過濾。一些需要提交字元資料的位置也是攻擊目標點。cookie竊取 此種攻擊常見於使用的認證憑據是cookie內容過於單一,沒有使用ip 時效性週期令牌等環境或者動態認證手段。系統內跨使用者資料攻擊...
常見web攻擊方式之DOS XSS
dos 攻擊常以 web 應用程式中脆弱的線路或 url 作為 目標,並向其傳送精心設計的資料報或 url,這樣會迫使伺服器陷入無限迴圈或進行 cpu 密集型運算,從而使得它從資料庫中大規模載入資料,最終迫使伺服器 cpu 超負荷運載以阻止伺服器執行其他請求。ddos 攻擊是指 dos 攻擊以一種精...
PHP面試 常見Web攻擊方式及防禦方案
跨站指令碼攻擊,指攻擊者在網頁中嵌入惡意指令碼程式。防禦將sql命令偽裝成正常的http請求引數,傳遞到伺服器端,伺服器執行sql命令造成對資料庫進行攻擊 防禦跨站請求偽造,指通過偽裝成受信任使用者進行訪問,比如我訪問了a 然後cookie存在了瀏覽器,然後我又訪問了乙個流氓 不小心點了流氓 乙個鏈...