SQLインジェクションとXSSの脆弱性

注射とはsql？

ユーザーがパラメーターを入力してSQLクエリステートメントを作成し、ユーザーがSQLクエリステートメントを制御できるようにする

防御方法：

1. 変数をバインドし、事前に解析されたステートメントを使用する
2. 変数のデータ型と形式を確認する
3. 特殊記号をフィルタリングする

脆弱性とは何xssですか？

悪意のあるスクリプトコードをWebページに挿入すると、ユーザーはWebページにアクセスしたときにこのスクリプトコードを実行し、一部の悪意のある情報がデータベースに格納され、次回ページにアクセスしたときにデータベースからWebページに悪意のある情報がレンダリングされます。 、攻撃を引き起こす

防御方法：

1. ユーザー入力を効果的にフィルタリングし、指定された長さまたはコンテンツの入力のみを許可します
2. 次のようなHTMLエンティティのエンティティ番号：<---＆lt;
3. JavaScriptコードは信頼できないデータであり、引用符で囲まれた値にのみデータを入れます
4. xss攻撃のほとんどの目的はユーザーのCookieを取得することなので、重要なCookieをhttponlyに設定して、スクリプトのdocument.cookieからCookieを取得できないようにします