欢迎光临广州鑫亮办公设备有限公司
常见问题
联系我们
销售热线:
Contact Hotline
【☎/微/同号】
13407484838
网址:http://www.xldn333.com

E-mail:991699205@qq.com

公司地址:广东省广州市天河区岗顶百脑汇333号
当前位置: 主页 > 常见问题 >
广州联想笔记本维修服务点_广州联想笔记本维修服务点_ 智汇华云:Web常见安详裂痕分享
 

  互联网时代数据信息瞬息万变,随之而来的是各类网络威胁、病毒入侵等各类危害网络安详的行为,网络安详越来越受到各人的存眷。华云数据本期"智汇华云"专栏将理会Web常见安详裂痕,与各人配合探讨数字时代的安详问题。

  SQL注入

  1、什么是SQL注入?

  SQL注入,就是通过把SQL呼吁插入到Web表单提交或输入域名或页面请求的查询字符串,广州复印机维修,最终到达欺骗处事器执行恶意的SQL呼吁。详细来说,它是操作现有应用措施,将(恶意的)SQL呼吁注入到靠山数据库引擎执行的本领,它可以通过在Web表单中输入(恶意)SQL语句获得一个存在安详裂痕的网站上的数据库,而不是凭据设计者意图去执行SQL语句。

  2、如何注入?

  例子: ?id=1

  此URL返回数据库某表的1条数据。措施中大概这么写的,电脑维修,ID为传入变量:

  select * from user where id='"+id+" ';

  如上,那么查询语句将是

  select * from user where id = '1'

  假如 id= 1' or '1'='1,那么查询语句将是

  select * from user where id = '1' or '1'='1'

  3、SQL注入原因

  ①对提交的数据未过滤

  ②拼装SQL语句

  ③不妥的范例处理惩罚

  4、SQL注入防止

  (1)字符串长度验证

  仅接管指定长度范畴内的变量值。sql注入剧本一定会大大增加输入变量的长度,通过长度限制,电脑维修,好比用户名长度为 8 到 20 个字符之间,复印机电脑电脑,高出就鉴定为无效值。

  (2)对单引号和双"-"、下划线、百分号等sql注释标记举办转义

  (3)不利用动态拼装SQL,电脑维修,利用参数化的SQL举办数据查询存取

  代码示例:

  String sql = "select id, no from user where id=?";

  PreparedStatement ps = conn.prepareStatement(sql);

  ps.setInt(1, id);

  ps.executeQuery();

  (4)框架防止: mybatis

  ① # 标记浸染为 将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。

  如:where user_id= #{id}

  假如传入的值是111,那么理会成sql时的值为 where id ="111"

  假如传入的值是 1'=or '1'='1' ,则理会成的sql为 whereid "1'=or '1'='1' "

  ②$ 标记则是将传入的数据直接生成在sql中。

  如:where user_id= '${id}'

  假如传入的值是111,那么理会成sql时的值为 where id ='111'

  假如传入的值是 1'=or '1'='1',则理会成的sql为 where _id ='1'or '1'=1'

  结论:# 标记可以或许防备SQL注入,电脑, $标记无法防备SQL注入,$ 标记一般用于传入数据库工具,譬喻传入表名

  XSS

  1、什么是XSS?

  往Web页面里插入恶意html代码,当用户欣赏该页之时,电脑维修电脑维修,嵌入个中Web内里的html代码会被执行,广州打印机维修,从而到达恶意进攻用户的非凡目标

  2、XSS分类

  (1)耐久性的XSS(存储在处事器端,进攻行为将陪伴着进攻数据一直存在)

  (2)非耐久性的XSS(一次性的,仅对当次的页面会见发生影响)

  例子:将参数通报至页面输出

  参数写法: index?value=<script>alert(document.cookie)</script>

  页面和JS写法: <div id="xss"></div> | $('#xss').html(value);

  3、XSS危害

  执行任意JS代码。最常见的做法是获取COOKIE认证信息;其他的就是跳转至恶意网址等,可能共同CSRF裂痕,举办建设form表单,电脑维修,举办提交,强制使当前用户操纵,好比发帖,电脑维修,删帖,电脑维修,甚至转账等。

  4、 XSS防护

  (1)过滤用户输入的内容,电脑,常见的是过滤 '、"、;、< 、>

  (2)在用户提交数据时,对数据举办编码处理惩罚。

  (3)在输出页面时,电脑维修打印机维修,对数据举办编码处理惩罚。

  CSRF

  1、什么是CSRF?

  伪造请求,假充用户在站内的正常操纵

  2、CSRF进攻道理

  3、CSRF危害

  进攻者盗用了用户的身份,电脑,可以操作此身份举办发送邮件、动员静、购置商品、银行转账等等用户可执行的操纵。

  4、CSRF如何防护

  (1)验证 HTTP Referer 字段

  此要领为基本防止,今朝Referer是可被改写和伪造的,并非绝对安详。

  (2)HTTP添加自界说参数验证

在线客服1
在线客服2
关注官方微信
返回顶部