xss攻击：

XSS攻击其核心都是利用了脚本注入，因此我们解决办法其实很简单，不信赖用户输入，对特殊字符如”<”,”>”转义，就可以从根本上防止这一问题

跨站请求伪造(CSRF攻击)

1、验证码。

应用程序和用户进行交互过程中，特别是账户交易这种核心步骤，强制用户输入验证码，才能完成最终请求。在通常情况下，验证码够很好地遏制

2、Anti CSRF Token。

目前比较完善的解决方案是加入Anti-CSRF-Token

SQL注入攻击

1、增加黑名单或者白名单验证

白名单验证一般指，检查用户输入是否是符合预期的类型、长度、数值范围或者其他格式标准。黑名单验证是指，若在用户输入中，包含明显的恶意内容则拒绝该条用户请求。在使用白名单验证时，一般会配合黑名单验证

2、安全检测

在项目完成的时候，始终坚持安全检测。

3、防止系统敏感信息泄露

对数据表的访问权限进行严格控制，尽量限制用户不必要的访问权限

文件上传漏洞

1、检查服务器是否判断了上传文件类型及后缀。

2、定义上传文件类型白名单，即只允许白名单里面类型的文件上传。

3、文件上传目录禁止执行脚本解析，避免攻击者进行二次攻击。