這幾天遇到這三個問題,現在簡單的記錄下來。
1、跨域
如我伺服器的網域名稱是www.test1.com,我在另乙個伺服器www.test2.com通過ajax訪問www.test1.com的資料時,就引起跨域的問題,提示錯誤 no 'access-control-allow-origin' header is present on the...
網上有很多文章,可以搜尋下。
2、xxs攻擊 xss表示cross site scripting(跨站指令碼攻擊),通過插入惡意指令碼,實現對使用者遊覽器的控制
假如使用者提交的資料含有js**,不做任何處理就儲存到了資料庫,讀出來的時候這段js**就變成了可執行的**,將會產生意向不到的效果。一般使用者提交的資料永遠被認為是不安全的,在儲存之前要做對應的處理。這次我就遇到了這個問題,
提交的資料用下面的這個方法過濾一下,可以有效的防範xxs的攻擊:
/*過濾使用者**
*/function security($str)
3、sql注入攻擊 sql注入攻擊中以sql語句作為使用者輸入,從而達到查詢/修改/刪除資料的目的
我用的pdo連線,但是如果不用引數繫結的話,是依然可以sql注入的。應該多注意使用繫結引數!
sql注入和xss攻擊
sql注入 就是通過把sql命令插入到web表單提交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。具體來說,它是利用現有應用程式,將 惡意的 sql命令注入到後台資料庫引擎執行的能力,它可以通過在web表單中輸入 惡意 sql語句得到乙個存在安全漏洞的 上的資料庫,而不...
XSS攻擊,SQL注入,CSRF攻擊入門
跨站指令碼攻擊 cross site scripting 為了不和層疊樣式表 cascading style sheets,css 的縮寫混淆,故將跨站指令碼攻擊縮寫為xss。惡意攻擊者往web頁面裡或url中插入惡意script 當使用者瀏覽該頁之時,嵌入其中web裡面的script 會被執行,從...
防止跨站指令碼攻擊 XSS指令碼注入
可能會竊取或操縱客戶會話和 cookie,它們可能用於模仿合法使用者,從而使黑客能夠以該使用者身份檢視或變更使用者記錄以及執行事務 在使用者提交的時候 判斷指令碼並且去掉相關資訊 執行xss清理 這裡會把前台傳過來的json需要的資料格式化 使得json序列化錯誤 所以需要把 處理掉 log.deb...