常見的網(wǎng)站安全問題

盡管你的網(wǎng)站用了很多高大上的技術(shù)，但是如果網(wǎng)站的安全性不足，無法保護(hù)網(wǎng)站的數(shù)據(jù)，甚至成為惡意程序的寄生溫床，那前面堆砌了再多的美好也都成了枉然。

SQL注入

在眾多安全性漏洞中，SQL 注入絕對是最嚴(yán)重但也是最好處理的一種安全漏洞。在數(shù)據(jù)庫執(zhí)行查詢句時(shí)，如果將惡意用戶給出的參數(shù)直接拼接在查詢句上，就有可能發(fā)生。

舉個(gè)例子，假設(shè)原本某網(wǎng)站登錄驗(yàn)證的查詢句長這樣：

strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');" 

而惡意用戶輸入的參數(shù)為：

userName = "1' OR '1'='1";  passWord = "1' OR '1'='1"; 

由于代碼中是直接將參數(shù)與查詢句做字串做的拼接，所以 SQL 就成為了這樣：

strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"  // 相當(dāng)于  strSQL = "SELECT * FROM users;" 

這樣一來，賬號密碼就形同虛設(shè)，甚至可以拿到整個(gè)數(shù)據(jù)庫的結(jié)構(gòu)(SELECT * FROM sys.tables)、任意修改、查詢數(shù)據(jù)，整個(gè)網(wǎng)站的數(shù)據(jù)就全部泄露了。

不過解決方法也很簡單，只要通過參數(shù)化查詢來避免直接將參數(shù)與查詢句拼接，并進(jìn)行適當(dāng)?shù)妮斎霗z查、插入轉(zhuǎn)義字符、嚴(yán)格設(shè)定程序權(quán)限，就能夠有效避免 SQL 注入了。

XSS

XSS（跨站攻擊）也叫JavaScript 注入，是現(xiàn)代網(wǎng)站最頻繁出現(xiàn)的問題之一，它指的是網(wǎng)站被惡意用戶植入了其他代碼，通常發(fā)生在網(wǎng)站將用戶輸入的內(nèi)容直接放到網(wǎng)站內(nèi)容時(shí)。例如論壇、留言板等可以輸入任意文字的網(wǎng)站，惡意用戶如果寫入一小段    

看起來很恐怖，那么該如何解決呢？除了前面所說的 CSRF Token 外，許多大公司還采用了另一種有趣的解決方式。即 API 的響應(yīng)內(nèi)容開頭為 for (;;);，這也是利用 了