大主宰,盗墓笔记全集

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

淺析常見的網(wǎng)站安全問題

經(jīng)過一番 996，精心打造的網(wǎng)站眼看就要部署上線了，但在網(wǎng)站正式上線之前，你有沒有想過自己的網(wǎng)站是否安全嗎?盡管你的網(wǎng)站用了很多高大上的技術，但是如果網(wǎng)站的安全性不足，無法保護網(wǎng)站的數(shù)據(jù)，甚至成為惡意程序的寄生溫床，那前面堆砌了再多的美好也都成了枉然。

專注于為中小企業(yè)提供網(wǎng)站設計、成都網(wǎng)站制作服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)紅河哈尼免費做網(wǎng)站提供優(yōu)質的服務。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了上千多家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設實現(xiàn)規(guī)模擴充和轉變。

SQL 注入

在眾多安全性漏洞中，SQL注入絕對是最嚴重但也是最好處理的一種安全漏洞。在數(shù)據(jù)庫執(zhí)行查詢句時，如果將惡意用戶給出的參數(shù)直接拼接在查詢句上，就有可能發(fā)生。

舉個例子，假設原本某網(wǎng)站登錄驗證的查詢句長這樣：

 
 
 
 
  
  
  
  strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"

而惡意用戶輸入的參數(shù)為：

 
 
 
 
  
  
  
  userName = "1' OR '1'='1";
  
  
  
  passWord = "1' OR '1'='1";

由于代碼中是直接將參數(shù)與查詢句做字串做的拼接，所以 SQL 就成為了這樣：

 
 
 
 
  
  
  
  strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
  
  
  
  // 相當于
  
  
  
  strSQL = "SELECT * FROM users;"

這樣一來，賬號密碼就形同虛設，甚至可以拿到整個數(shù)據(jù)庫的結構(SELECT * FROM sys.tables)、任意修改、查詢數(shù)據(jù)，整個網(wǎng)站的數(shù)據(jù)就全部泄露了。

不過解決方法也很簡單，只要通過參數(shù)化查詢來避免直接將參數(shù)與查詢句拼接，并進行適當?shù)妮斎霗z查、插入轉義字符、嚴格設定程序權限，就能夠有效避免 SQL 注入了。

XSS

XSS（跨站攻擊）也叫JavaScript 注入，是現(xiàn)代網(wǎng)站最頻繁出現(xiàn)的問題之一，它指的是網(wǎng)站被惡意用戶植入了其他代碼，通常發(fā)生在網(wǎng)站將用戶輸入的內容直接放到網(wǎng)站內容時。例如論壇、留言板等可以輸入任意文字的網(wǎng)站，惡意用戶如果寫入一小段

看起來很恐怖，那么該如何解決呢？除了前面所說的 CSRF Token 外，許多大公司還采用了另一種有趣的解決方式。即 API 的響應內容開頭為 for (;;);，這也是利用了