网站开发中的安全问题

来源:哈尔滨建站公司 2020-04-12 09:39:00

开发网站。常见的网站安全问题如下。

1、 SQL注入。

它使用一些特殊的SQL语句来执行破坏性SQL语句。例如:

在PHP中,为了防止SQL注入,可以使用MySQL﹣real﹣escape﹣string($string)来转义SQL语句中使用的字符串。MySQL?逃跑?String($String)有相同的功能,除了MySQL?真的吗?逃跑?字符串接受连接句柄,并根据当前字符集转义字符串。

如果使用PDO等方法与MySQL交互,可以使用绑定参数避免SQL注入。

这些方法的本质是对SQL语句中的特殊字符进行转义,以避免它们破坏SQL语句并生成新的破坏性SQL语句。这些特殊字符主要指单引号和双引号。

2,XSS

XSS,中文名跨站点脚本攻击。通过在网页中嵌入恶意JS脚本来达到攻击的目的。

恶意用户在表单中输入以下内容:

scripttype='text/javascript'警报('Hello,world!');/脚本(2-2)

此JS代码是非破坏性的,只演示了发动XSS攻击的基本方法。

为了防止XSS攻击,只需转义尖括号(,)、单引号和双引号。

3、 伪造脚本攻击

它还使用JS进行攻击。举个简单的例子。在伪造脚本攻击中,有三个因素:恶意站点a、安全站点B和用户C。用户C访问安全站点B并登录。用户C在不注销的情况下访问了站点a。站点a提供了一个链接

为了防止这种伪造攻击,在浏览器中设置了httponly,并且需要在站点中进行更安全的请求身份验证。

4,DDos

DDoS,中文名分布式拒绝服务攻击。DDoS通过向目标网站发送大量的访问请求,远远超过目标网站能够承受的访问请求,导致目标网站瘫痪或拒绝服务。

用于发起攻击的通信量可以来自攻击者捕获的大量鸡(被杀死的计算机),也可以来自大量代理IP。

由于硬件技术的高度发展,以往的攻击方法只能依靠大流量来拖拽目标网站,已经很难奏效。目前,流行的攻击有三种。

该攻击采用TCP/IP协议、客户端和服务器三握手的原理。

次握手:客户端向服务器发送请求。

第二次握手:服务器响应客户机的请求,并告诉客户机它已接受请求并准备好发送数据。

第三次握手:客户机向服务器发送数据,并告诉服务器它已经准备好接收数据。

在第三次握手中,攻击者控制客户端不响应服务器,服务器会连续向这些无响应的客户端发送数据。由于越来越多的客户端不响应服务器,超过了服务器可以提供服务的客户端数量,新的正常客户端请求将不会响应。

使用大量不存在的域名从目标网站请求。DNS服务器将尝试解析这些假域名,并将它们逐层报告给全局根DNS解析服务器。

伪装正常用户干扰目标网站正常进程,迫使目标网站误杀真正的正常用户。

攻击者在电子商务网站下了很多订单后,就延迟付款;超过订单锁定时间后,就下了很多订单。这将在网站上锁定大量订单,普通用户无法下单。