一、SQL注入：

将未经过滤的用户输入拼接到 SQL 语句中

$product = DB::select("select * from products where id = '".$_GET['id']."'");
//这里id用户可以输入任何内容，从而导致sql语句可以被拼接成恶意攻击语句

避免sql注入：

在 PHP 的项目里要避免 SQL 注入需要两个条件：

• 使用 Prepared Statement + 参数绑定
• 绝对不手动拼接 SQL
  Prepared Statement 简单来说就是把要执行的 SQL 与 SQL 里的参数分开,在 Laravel 里所有的 SQL 查询都是 Prepared Statement 模式
  不出现下面这种直接拼接的SQL语句

$product = DB::select("select * from products where id = '".$_GET['id']."'");

二、XSS漏洞：

将未经过滤的用户输入原样输出到网页中
js代码保存到数据库后原样输出到网页会被执行

尽量避免原样输出

//在 Laravel 中要输出文本有两种方式：{{ $str }} 和 {!! $str !!}，前者等同于 echo 
//htmlspecialchars($str) 而后者则是 echo $str，
//htmlspecialchars() 函数默认会把 <>&" 这个 4 个字符分别转义成 <、&lgt;、& 和 "，因此我们只要保证我们一直在用 {{ }} 来输出就没有问题。

三、CSRF攻击

利用用户的身份认证信息在用户当前已登录的 Web 应用程序上执行非用户本意的操作

举个例子，假如 Laravel China 退出登录的请求方式和路由是 Get /logout，那么恶意用户只要在 LC 的帖子里插入一张图片，图片的 SRC 是 https://laravel-china.org/logout，那么任何访问这个帖子的用户都会被强制退出，因为浏览器在请求这个 URL 之前并不知道这个 URL 是不是一张真的图片，那么就会带着当前用户的 Cookie 用 Get 方式去请求这个退出页面，也就导致当前用户被强制退出。

那么是不是把请求方式改成 Post 就没有问题了呢？确实无法通过图片的方式来触发，但是恶意用户可以在其他站点构造一个页面，内容如下：

<form action="https://laravel-china.org/logout" method="post" id="form"></form>
<script>document.gentElementById('form').submit();</script>

然后恶意用户诱导正常的用户去访问这个页面（比如这个恶意用户在 LC 的头条里分享了这个页面并取了一个很有诱惑的标题《教你如何实现一个千万并发的网站》，相信会有很多人访问），那么访问了这个页面的用户就会被强制退出 LC。

如果一个银行网站的转账功能有 CSRF 漏洞，那么恶意用户就可以通过 CSRF 漏洞来盗取其他用户的资金。

避免CSRF 攻击需要两个条件：

• 敏感操作不能用 Get 请求方式；
• 对于非 Get 的请求方式，需要校验请求中的 token 字段，这个字段值对每个用户每次登录都是不一样的。