web安全基础知识

概述常见的web安全问题，原理和防范措施。  SQL注入 XSS（跨站脚本攻击， Cross-Site Scripting） CSRF（跨站请求伪造， Cross-site request forgery）   什么是SQL注入？ 通过构造特殊的输入参数传入web应用，导致后端执行了恶意的SQL 通常由于程序员未对输入进行过滤，直接动态拼接SQL产生 可以使用开源工具sqlmap，SQLninja 检 常见的web安全问题，原理和防范措施。  sql注入 XSS（跨站脚本攻击， Cross-Site Scripting） CSRF（跨站请求伪造， Cross-site request forgery）   什么是sql注入？ 通过构造特殊的输入参数传入web应用，导致后端执行了恶意的sql 通常由于程序员未对输入进行过滤，直接动态拼接sql产生 可以使用开源工具sqlmap，sqlninja 检测。

 

如何防范sql注入？

原则：永远不要相信用户的任何输入

对输入参数做好检查（类型和范围）； 过滤和转义特殊字符 不要直接拼接sql， 使用ORM可以大大降低sql注入的风险 数据库层： 做好权限管理配置； 不要明文储存敏感信息。

 

什么是xss（Cross Site Scripting）， 跨站脚本攻击 恶意用户将代码植入到提供给其他用户使用的页面中，未经转义的恶意代码输出到其他用户的浏览器中被执行 用户浏览页面的时候嵌入页面的脚本（Js）会被执行，攻击用户。 比如dom中： document.cookie 可以获取页面的cookie信息。 主要分为两类： 反射型（非持久型）， 存储型（持久型）

 

如何防范XSS呢？

不要相信用户的任何输入！

过滤（输入和参数）。 对敏感标签<script> <img><a>等进行过滤。 转义。 对常见的符号("&","<",">")转义(python3 HTML.escape) 总结

以上是内存溢出为你收集整理的web安全基础知识全部内容，希望文章能够帮你解决web安全基础知识所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。