WEB开发中常见漏洞防御方法是什么

SQL注入漏洞

  • SQL注入漏洞产生原因及危害

  • 在sql查询中很多程序员会将变量拼接入sql语句后再进行查询,这样如果黑客在参数中插入其他sql语句就可能导致我们网站的密码被被黑客查询出来或者被拖取大量数据,如果在开发中使用了字符串拼接进SQL语句就必须进行严格的过滤,任何用户输入的内容都不可信任,以下列举几种防御方法。

数字型查询注入防护

查询例子如下

如果是这样的数字型注入我们可以强制将传入参数转换为整数,以剔除黑客拼接的SQL语句。修改如下

这是这个网页正常查询的返回的结果。

WEB开发中常见漏洞防御方法是什么

这是一个典型的数字型注入,我们输入注入语句可见注入成功

WEB开发中常见漏洞防御方法是什么

我们强制转换类型到代码中:

WEB开发中常见漏洞防御方法是什么

我们再执行注入可以看到恢复正常查询,注入失败。

WEB开发中常见漏洞防御方法是什么

非数字型注入防护-通用防护

如果查询参数不是数字,那么我们该如何防护呢,那么这里可以使用通用型防护,对数字型和非数字型同样适用,我们知道web中获取参数的方式主要有三种分别是get、post、cookie。那么我们防护的主要方面也是这三个方面,我们可以对网站的所有流量进行黑名单过滤。当然这个也可以拦截xss漏洞。具体流程如下:

WEB开发中常见漏洞防御方法是什么

具体实现代码:

测试

同样我们在原先的网站上将我们的waf.php文件包含进去,在执行注入操作,可见我们已经将非法操作拦截。

WEB开发中常见漏洞防御方法是什么

WEB开发中常见漏洞防御方法是什么

使用预处理对注入进行防护

PHP预处理查询的例子

  • 预处理的优点

  • 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。

  • 绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。

  • 预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。

XSS漏洞的防护

  • xss漏洞产生的原因及危害

  • xss漏洞和sql注入一样也是注入型漏洞,主要是黑客在网页中注入恶意的js代码,可以导致我们的cookie被盗取,黑客通过cookie欺骗就能轻松登陆我们的后台,黑客也可以利用js进行挂马、黑帽seo、攻击客户计算机等操作危害十分严重。那么如何防御呢,我将讲解两种主要防御方法。

  • xss分类

  • xss主要分为反射型,储存型、和DOM型

转义 htmlspecialchars()

我们知道在数据库查询出来的数据可以打印到网页上,但是数据可能是用户在注册或者输入其他表单输入的,那么这里用户可能输入的是js或者html代码,这里就可能导致,用户输入的代码在浏览器中被解析并执行,那么我们这就可以通过 htmlspecialchars()将其转义为不可解析的字符串,从而避免此类攻击。

这是一个模拟存在xss漏洞的网页。我们进行模拟攻击和修复。

我们传入一个xss攻击代码,可见直接获取了当前网页的cookie内容

WEB开发中常见漏洞防御方法是什么

那我们在输出时候给$id加上htmlspecialchars()呢

我们可以明显看到浏览器不再解析我们传入的js代码,而是将它当做普通字符串输出。

WEB开发中常见漏洞防御方法是什么

通用型防护

将我们sql注入的通用型防护waf.php包含到该网页同样可以实现过滤。

WEB开发中常见漏洞防御方法是什么

CSRF漏洞的防御

  • CSRF漏洞产生的原因和危害

  • CSRF漏洞主要是我们的网站没有对表单验证,这个表单是不是我们网站自己本身提交的,如果有一个改密码的表单被人构造并放在了其他人的网站上,我们在打开这个黑客精心构造的域外表单时候就导致了我们本身的密码被修改,黑客也可以通过CSRF漏洞进行蠕虫式传播,新浪微博就曾遭遇过此类攻击,黑客精心构造表单,当你打开这个表单的链接时候就会自动发送一条微博,其他人打开同样进行这样的操作。

TOKEN防护

我们如何验证这个表单是不是我们自己网站本身提交的呢,那么我们可以在每个表单下生成一个隐藏的input表单存放一个TOKEN,在进行表单提交时会验证这TOKEN是否在SESSION上,如果在就执行这个表单的操作,如果TOKEN不在或者根本没提交TOKEN那么说明表单是伪造的,我们直接截断操作。具体流程如下:

WEB开发中常见漏洞防御方法是什么

防护代码编写:

测试

  • 我们分别写两个文件分别是index.php用于提交表单,xss.php用于验证表单

  • index.php

xss.php

可以看到我们代码非常简单,只要我们通过动态的TOKEN验证,那就会输出check success,否则输出NO-TOKEN!

首先我们直接提交表单是没有问题的直接返回成功

WEB开发中常见漏洞防御方法是什么

但是我们F12将TOKEN值删除再提交呢?

WEB开发中常见漏洞防御方法是什么

可以看到会直接截断

WEB开发中常见漏洞防御方法是什么

web防御中的代码安全:

感谢你的阅读,相信你对“WEB开发中常见漏洞防御方法是什么”这一问题有一定的了解,快去动手实践吧,如果想了解更多相关知识点,可以关注亿速云网站!小编会继续为大家带来更好的文章!

文章标题:WEB开发中常见漏洞防御方法是什么,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/29723

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云
上一篇 2022年9月26日 上午1:39
下一篇 2022年9月26日 上午1:40

相关推荐

  • 2024年9款优质CRM系统全方位解析

    文章介绍的工具有:纷享销客、Zoho CRM、八百客、红圈通、简道云、简信CRM、Salesforce、HubSpot CRM、Apptivo。 在选择合适的CRM系统时,许多企业面临着功能繁多、选择困难的痛点。对于中小企业来说,找到一个既能提高客户关系管理效率,又能适应业务扩展的CRM系统尤为重要…

    2024年7月25日
    1600
  • 数据库权限关系图表是什么

    数据库权限关系图表是一种以图表形式展示数据库权限分配和管理的工具。它可以有效地帮助我们理解和管理数据库中的各种权限关系。数据库权限关系图表主要包含以下几个部分:数据对象、用户(或用户组)、权限类型、权限级别、权限状态等。其中,数据对象是权限关系图表中的核心元素,它代表了数据库中的各种数据资源,如表、…

    2024年7月22日
    200
  • 诚信数据库是什么意思

    诚信数据库是一种收集、存储和管理个人或组织诚信信息的系统。它是一种用于评估和管理个人或组织行为的工具,通常由政府、商业组织或者非营利组织进行运营。诚信数据库的主要功能包括:1、评估个人或组织的诚信状况;2、提供决策支持;3、预防和控制风险;4、促进社会信用体系建设。 在这四大功能中,评估个人或组织的…

    2024年7月22日
    400
  • 数据库期末关系代数是什么

    关系代数是一种对关系进行操作的代数系统,是关系模型的数学基础,主要用于从关系数据库中检索数据。其操作包括选择、投影、并集、差集、笛卡尔积、连接、除法等。其中,选择操作是对关系中的元组进行筛选,只保留满足某一条件的元组;投影操作则是从关系中选择出一部分属性构造一个新的关系。 一、选择操作 选择操作是关…

    2024年7月22日
    700
  • mysql建立数据库用什么命令

    在MySQL中,我们使用"CREATE DATABASE"命令来创建数据库。这是一个非常简单且基础的命令,其语法为:CREATE DATABASE 数据库名。在这个命令中,“CREATE DATABASE”是固定的,而“数据库名”则是你要创建的数据库的名称,可以自己设定。例如,如…

    2024年7月22日
    500
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部