注射とはsql
?
ユーザーがパラメーターを入力してSQLクエリステートメントを作成し、ユーザーがSQLクエリステートメントを制御できるようにする
防御方法:
- 変数をバインドし、事前に解析されたステートメントを使用する
- 変数のデータ型と形式を確認する
- 特殊記号をフィルタリングする
脆弱性とは何xss
ですか?
悪意のあるスクリプトコードをWebページに挿入すると、ユーザーはWebページにアクセスしたときにこのスクリプトコードを実行し、一部の悪意のある情報がデータベースに格納され、次回ページにアクセスしたときにデータベースからWebページに悪意のある情報がレンダリングされます。 、攻撃を引き起こす
防御方法:
- ユーザー入力を効果的にフィルタリングし、指定された長さまたはコンテンツの入力のみを許可します
- 次のようなHTMLエンティティのエンティティ番号:<---&lt;
- JavaScriptコードは信頼できないデータであり、引用符で囲まれた値にのみデータを入れます
- xss攻撃のほとんどの目的はユーザーのCookieを取得することなので、重要なCookieをhttponlyに設定して、スクリプトのdocument.cookieからCookieを取得できないようにします