Web安全——SQL注入、DOS攻击

SQL注入的危害

• 猜解密码
• 获取数据
• 删库删表
• 拖库，本来展示的一部分数据，但是可能通过SQL注入的方式得到更多的数据。

SQL注入防御

1. 关闭错误提示。
2. 检查数据类型。
3. 对数据进行转义（connectoin.escape）。
4. 使用参数化查询。（这是目前最好的解决方案，在node中，可以使用mysql2这个模块来实现）。
5. 使用ORM（对象关系映射）。

DOS攻击的方式

一个用户进行对你的服务进行攻击
1. TCP半连接
2. Http协议
3. DNS

DDOS

大量的用户分布式的对你进行攻击：

行为：

• 流量可达到几十到上百G。
• 分布式
• 及难防御

DOS的防御

1. 防火墙
2. 路由器和交换机
3. 流量清洗
4. 高防IP
5. 避免重逻辑业务
6. 快速失败，快速返回
7. 防雪崩机制
8. 清除系统负载
9. 有损服务
10. CDN，主要是针对静态文件