日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
常見的四大網(wǎng)站安全問題

 盡管你的網(wǎng)站用了很多高大上的技術(shù),但是如果網(wǎng)站的安全性不足,無法保護(hù)網(wǎng)站的數(shù)據(jù),甚至成為惡意程序的寄生溫床,那前面堆砌了再多的美好也都成了枉然。

SQL注入

在眾多安全性漏洞中,SQL 注入絕對是最嚴(yán)重但也是最好處理的一種安全漏洞。在數(shù)據(jù)庫執(zhí)行查詢句時(shí),如果將惡意用戶給出的參數(shù)直接拼接在查詢句上,就有可能發(fā)生。

舉個(gè)例子,假設(shè)原本某網(wǎng)站登錄驗(yàn)證的查詢句長這樣:

 
 
 
    
  
  
  
  1. strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"
    2.

而惡意用戶輸入的參數(shù)為:

 
 
 
    
  
  
  
  1. userName = "1' OR '1'='1";
    2. 
  
  
  
  2. passWord = "1' OR '1'='1";
    3.

由于代碼中是直接將參數(shù)與查詢句做字串做的拼接,所以 SQL 就成為了這樣:

 
 
 
    
  
  
  
  1. strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
    2. 
  
  
  
  2. // 相當(dāng)于
    3. 
  
  
  
  3. strSQL = "SELECT * FROM users;"
    4.

這樣一來,賬號密碼就形同虛設(shè),甚至可以拿到整個(gè)數(shù)據(jù)庫的結(jié)構(gòu)(SELECT * FROM sys.tables)、任意修改、查詢數(shù)據(jù),整個(gè)網(wǎng)站的數(shù)據(jù)就全部泄露了。

不過解決方法也很簡單,只要通過參數(shù)化查詢來避免直接將參數(shù)與查詢句拼接,并進(jìn)行適當(dāng)?shù)妮斎霗z查、插入轉(zhuǎn)義字符、嚴(yán)格設(shè)定程序權(quán)限,就能夠有效避免 SQL 注入了。

XSS

XSS(跨站攻擊)也叫JavaScript 注入,是現(xiàn)代網(wǎng)站最頻繁出現(xiàn)的問題之一,它指的是網(wǎng)站被惡意用戶植入了其他代碼,通常發(fā)生在網(wǎng)站將用戶輸入的內(nèi)容直接放到網(wǎng)站內(nèi)容時(shí)。例如論壇、留言板等可以輸入任意文字的網(wǎng)站,惡意用戶如果寫入一小段

  • 看起來很恐怖,那么該如何解決呢?除了前面所說的 CSRF Token 外,許多大公司還采用了另一種有趣的解決方式。即 API 的響應(yīng)內(nèi)容開頭為 for (;;);,這也是利用 了