防止xss攻击与sql注入
2016-03-28 13:52
337 查看
XSS
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。Xss脚本攻击类型分为:非持久型xss攻击、持久型xss攻击。
1.非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。
2.持久型xss攻击会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。
防止Xss攻击:过滤表单提交的数据,将可疑的内容去掉。
1.继承HttpServletRequestWrapper类,使用装饰模式重写HttpServletRequest的获取参数方法
2.创建拦截器
3.配置拦截器
SQL注入
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
防止sql注入的方法主要有:
1.使用存储过程
2.校验输入的字符串
3.参数化sql
在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,用@或?来表示参数。
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。Xss脚本攻击类型分为:非持久型xss攻击、持久型xss攻击。
1.非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。
2.持久型xss攻击会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。
防止Xss攻击:过滤表单提交的数据,将可疑的内容去掉。
1.继承HttpServletRequestWrapper类,使用装饰模式重写HttpServletRequest的获取参数方法
3.配置拦截器
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
防止sql注入的方法主要有:
1.使用存储过程
2.校验输入的字符串
3.参数化sql
在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,用@或?来表示参数。
相关文章推荐
- 查看mysql数据库连接数、并发数相关信息
- oracle latch工作原理
- 将mysql的查询结果导出为csv
- Mysql之inner join,left join,right join详解
- Memcache 雪崩现象
- oracle安装数据库
- sqlserver 导入数据
- AWS挑战数据库市场 Oracle不以为意
- MongoDB启动配置等
- MySQL数据存放位置变动
- 甲骨文推出全新Oracle Cloud at Customer
- 百万级数据库优化方案
- MySQL数据库----索引篇部分(待增补)
- (1)MongoDB的Java应用
- 数据库中where与having区别~~~
- MySQL权限篇之INSERT与UPDATE
- SQL中,where 与 having 的性能比较
- Ubuntu 14.04 LTS 64位安装Oracle 11g (二)
- mysql的索引实现
- Ubuntu 14.04 LTS 64位安装Oracle 11g (一)