安全中的三要素:
1.保密性:对用户数据保密,传输和存储的加密。
2.完整性:防止数据被替换,对数据签名,校验。
3.可用性:服务是可用的,DOS(拒绝服务)攻击,商场收银台恶意排队。
SQL注入
误将用户输入的数据,当作执行代码的一部分执行:# -- ; 等。
比如SQL语句,字符串拼接操作
预防:
1.过滤用户输入参数中的特殊字符:# -- ;等。
2.禁止使用字符串拼接的SQL。
3.使用参数绑定的方式传入SQL参数。
4.使用数据库访问框架。
XSS与CSRF
XSS self-XSS
CSRF:用户不知情的情况下,冒充用户发起请求;恶意发帖,修改密码,发邮件。
预防CSRF:
1.验证页面或cookie中的token
2.人机交互,短信验证。
HTTPS
HTTP over SSL
DES RSA
加密危机 -> 信任危机(安全证书)
1.https握手 2.数据的加密传输
TCP/IP OSI