欢迎来到合肥浪讯网络科技有限公司官网
咨询服务热线:400-099-8848
咨询服务热线:400-099-8848
网站安全的一些防范方法(一) |
| 发布时间:2024-10-19 文章来源:本站 浏览次数:1002 |
黑客进犯的类型及阻拦方法:
黑客能采纳多种进犯方法对一个网站进行部分或悉数操控。一般而言,风险的而又常见的是跨站点脚本(XSS,cross-site scripting)和SQL植入(injection) 。
跨站点脚本是一种通过使用网络使用程序层面的安全漏洞,在网页中植入歹意代码的技能。当网络使用程序处理通过用户输入获得的数据,并且在回来给终用户前没有任何进一步的检查或验证时,这种进犯就可能产生。
确保网络使用程序不被这种技能侵犯的方法有很多种,在此罗列一些简单的方法。
为防止潜在歹意字符的直接植入,能够使用一些数据编码,例如,PHP中的htmlspecialchars功用;
为防止歹意字符直接植入使用程序代码,能够在数据库端和数据输入之间建一个“层”;
除掉能够被插入到表单中的数据输入,如PHP中的strip tags功用。
SQL植入是一种在网络使用程序中植入歹意代码的技能,它使用数据库层面的安全漏洞以达到非法操控数据库目的。这种技能非常强大,它能够操纵网址(查询字符串)或其他任何形式(登录,搜索,电子邮件注册)以植入歹意代码。
当然,也是有方法防止此类黑客进犯的产生的。一种是在前端界面和后端数据库之间添加一个“中间层”。 例如,在PHP中,PDO(PHP Data Objects)扩展一般与参数(有时被称作placeholder或绑定变量)一起产生效果,而不是直接将用户输入做为指令句子。另一种极为简单的技能是字符转义,通过这种方法,所有能够直接影响数据库结构的风险字符都能够被转义。例如,参数中每出现一个单引号[‘]必须代之以两个单引号[’‘]来形成一个有用的SQL字符串。这两种是常见的,也是能够采纳的,用以防止SQL植入,改进网站安全的有用方法。 |
