¿Qué es la sql
inyección?
El usuario forma la declaración de consulta SQL ingresando parámetros, para que el usuario pueda controlar la declaración de consulta SQL
Métodos de defensa:
- Vincular variables, usar sentencias analizadas previamente
- Verifique el tipo y formato de datos variables
- Filtrar símbolos especiales
¿Qué es una xss
vulnerabilidad?
Al insertar un fragmento de código de script malicioso en la página web, el usuario ejecutará este código de script al acceder a la página web, y cierta información maliciosa puede almacenarse en la base de datos, y la información maliciosa se procesará desde la base de datos a la página web la próxima vez que se acceda a la página , Causando un ataque
Métodos de defensa:
- Filtra eficazmente la entrada del usuario, solo permite la entrada de una longitud o contenido especificado
- Número de entidad para entidades HTML, como: <--- & lt;
- Datos no confiables del código JavaScript, y solo coloque los datos en el valor entre comillas
- La mayor parte del propósito del ataque xss es obtener la cookie del usuario, por lo tanto, configure la cookie importante en httponly, para que no pueda obtener la cookie a través del documento.cookie en el script