防sql注入,防csrf攻击(跨站请求伪造)
什么是SQL注入:
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。一部分程序员在编写代码的时候,
没有对用户输入数据的合法性进行判断,注入者可以在表单中输入一段数据库查询代码并提交,
程序将提交的信息拼凑生成一个完整sql语句,服务器被欺骗而执行该条恶意的SQL命令。注入者根据程序返回的结果,成功获取一些敏感数据,甚至控制整个服务器,这就是SQL注入。
防止sql注入
1.单双引号不要忽略
2.过略掉关键字符
3.提高数据表和字段的命名技巧,用不容易被猜到的
4.PHP配置文件中设置register_globals 为for,关闭全局变量注册
5.控制错误信息,不要再浏览器上输出错误信息
csrf 攻击
原理:csrf是跨站请求伪造 ,首先获取网站用户登录信息,冒充正常用户登录,进行破坏活动,受害方是正常用户和站点
防范:
1.更改api的设计,get方式只用于读取数据,创建数据用post,可以用ajax提交表单
2.在请求地址中加token验证
3.验证码