web安全考慮

2021-08-30 16:45:52 字數 618 閱讀 6759

1.sql注入攻擊

伺服器端程式有時希望接受客戶端輸入並且將他作為查詢的一部分

例如:乙個接收使用者名稱的登入介面可能執行以下**:

sql=select * from users where username=?

如果客戶端輸入以下字串作為使用者名稱

a';delete from users;
sql=select * from users where username=a';delete from users;

如果這條語句被執行,那麼users表中的資料就會被刪除

對策:1.禁止輸入特殊字元,如百分號,單引號,雙引號

2.禁止輸入敏感字元,如update,insert,delete

3.對特殊字元進行轉義

2、跨站指令碼攻擊

對策:1.在介面輸入中,禁止輸入指令碼

2.在把資料存入資料庫之前,以及從資料庫取出資料後,進行html轉義

3.拒絕攻擊

假設乙個登入頁面。攻擊者可以編寫**,簡單地加入乙個迴圈來嘗試用不同的使用者名稱/密碼登入,獲得合法客戶身份

支付安全考慮

1.網銀類 像招行支付 工行支付 西聯快匯等 2.綜合電子錢包類 像支付寶 快錢 易寶 paypal moneybookers facebook credits等 3.虛實卡類 神州行 mycrad gash 駿網一 崑崙一 mol等 4.固話聲訊類 像杭州齊順 daopay等 5.手機簡訊類 像聯...

Open API安全考慮

很初級的簡單想法,先記下來。需要有個年輕聰明的青年才俊論證一下 1 是否用https,這些就沒有必要了。2 嚴謹性 是否有漏洞,這麼做安全性依賴哪些要素,能多大程度上保證。3 必要性 是否有冗餘環節。4 效能 壓一下,注意監控cpu。以下是正文。1 所有的秘鑰都由我們生成並頒發。2 我們需要儲存 1...

開放API設計安全考慮

1.加密敏感資料保證安全,非對稱演算法rsa和對稱演算法des sm4等 2.摘要演算法md5防止篡改,演算法中增加鹽值 雙方約定的乙個秘密值 增加伺服器時間值,用於判斷呼叫提交時間 3.採用token的方式校驗是否已經登入,乙個是判斷token是否存在,二是token是否過期 4.介面設計需要具有...