1、SQL注入
/* sql注入方式
* 1、数字注入 eg: select * from id = [1 or 1] -----通过intval()函数将id转为数字
* eg: select * from id = [1 union select ....]
* 2、分号注入 eg: select * from test1 where id=[1;# ] and name="aa"
* eg: select * from test1 where id=[1; insert/select/update语句]
* 3、引号注入:eg:用户登录:SELECT * FROM users WHERE user=‘john‘ AND password=‘ [‘ OR ‘‘=‘]‘ //使用转义处理
*
* */
解决办法:mysql_real_escape_string()函数转义,inteval()函数格式化数字,采用mysqli或者PDO预处理机制
现在的主流框架都采用PDO尽心预处理,或者参数绑定;
2、XSS攻击
XSS(跨站点脚本攻击)是一种攻击,由用户输入一些数据到你的网站,其中包括客户端脚本(通常JavaScript)。如果你没有过滤就输出数据到另一个web页面,这个脚本将被执行。接收用户提交的文本内容
原文:https://www.cnblogs.com/gongxulei/p/10033648.html