安全問題也是咱們開發中不可忽視的問題。這裏介紹三種常見的攻擊及防禦措施。html
一、SQL注入:指的是將sql代碼假裝到輸入參數中,傳遞到服務器解析並執行的一種攻擊手段。意思是:在對服務端發起的請求參數中植入一些sql代碼,服務端在執行sql操做時,會拼接對應參數,同時也將一些sql注入攻擊的‘sql’拼接起來,到只會執行一些預期以外的操做。 防範措施:一、對用戶的輸入進行校驗;二、不適用動態拼接sql 二、XSS(跨站腳本攻擊):往web界面中插入惡意的html標籤或者js代碼。例如:在某個論壇放置一個看似安全的連接,竊取cookie中的用戶信息。 防範措施:一、儘可能採用post而不是用get提交表單;二、避免cookie中泄露用戶的隱私 三、CSRF(跨站請求假裝):經過假裝來自受信任用戶的請求。好比能夠經過CSRF跨站假裝請求qq音樂的數據 防範措施:驗證碼(最簡潔有效) XSS和CSRF的區別: 一、XSS是獲取信息的,不惜要提早知道用戶頁面的代碼和數據包 二、CSRF代替用戶完成指定的動做,須要知道其餘頁面的代碼和數據包