xss攻擊是跨站指令碼工具
csrf攻擊是跨站請求偽造
sql注入
ddos流量攻擊
防止xss指令碼攻擊:
xss攻擊即跨站指令碼攻擊,通過篡改網頁,注入惡意的html指令碼,控制 使用者瀏覽器進行惡意操作的一種攻擊。
防止: script注入,轉義過濾script標籤。htmlentities(把字串轉為html實體)
防止csrf跨站請求偽裝:
csrf的防禦可以從服務端和客戶端兩方面著手,防禦效果是從服務端著手效果比較好,現在一般的csrf防禦也都在服務端進行。
1:.cookie hashing(所有表單都包含同乙個偽隨機值):
2:驗證碼
3:one-time tokens(不同的表單包含乙個不同的偽隨機值)
防止sql注入:
1執行sql語句是使用addslashes進行sql語句轉換
2 sql語句書寫盡量不要省略雙引號和單引號
4 php配置檔案中設定register_global為off,關閉全域性變數註冊
5 控制錯誤資訊 不要把錯誤資訊輸出到瀏覽器上 應儲存在錯誤日
防止ddos流量攻擊:
1 使用工具:ddos deflate . 自動查封ip.
2 解析網域名稱到127.0.0.1 讓攻擊方自己攻擊自己
3 把**做成靜態頁面
4 限制s yn/icmp流量
時間盲注手注
基於時間的盲注 時間的概念 使用特定函式讓資料庫去執行,通過自己的設定,來檢視資料庫是否get到我們的請求 函式sleep 設定資料庫的延時或者暫停的時間 函式limit 0,1 限制第乙個的第乙個字元 函式mid 1,1 從第乙個字元開始擷取,只擷取乙個 函式benchmark 引數一,引數二 第...
布林盲注手注
布林盲注 mid str,1,3 字串擷取 意思就是把str這個字串從第乙個字串開始,擷取前三個顯示 substr 這個函式和上面的用法一樣,也是用來擷取字串的 ord 轉換成ascii碼 length 統計長度 version 是檢視資料庫版本 database 檢視當前資料庫名 user 檢視當...
SQL盲注 時間盲注,dnslog盲注
時間盲注原理 id get id sql select from users where id id limit 0,1 result mysql query sql row mysql fetch array result if row else 存在sql注入漏洞 然而頁面不會回顯資料,也不會回...