網站安全防范之常見的網站攻擊方式及應對方案，sql注入，xss攻擊，csrf攻擊，文件上傳漏洞，訪問控制。這些是一般網站容易發生的攻擊方式，接下來我們一一分析它們是如何攻擊以及防范的。

一、sql注入

<1>什么是sql注入?

sql注入說的通俗一些就是用戶在http請求中注入而已的代碼，導致服務器使用數據庫sql命令時，導致惡意sql一起被執行。

用戶登錄，輸入用戶名 zhangsan，密碼 ‘ or ‘1’=’1 ，如果此時使用參數構造的方式，就會出現

select * from user

where name = 'zhangsan' and password = '' or '1'='1'

這樣zhangsan用戶沒有密碼也可以被登陸，如果用戶注入的是操作表的sql，就有大麻煩了。

<2>怎么防范sql注入?

1.不用拼接 SQL 字符串

2. 有效性檢驗。(前端后端都需要。第一準則，外部都是不可信的，防止攻擊者繞過Web端請求)

3過濾 SQL 需要的參數中的特殊字符。比如單引號、雙引號。推薦幾個函數mysql_real_escape_string() addslashes()htmlentities() htmlspecialchars() strip_tags() intval()

4.限制字符串輸入的長度。

二、xss攻擊

<1>什么是xss攻擊

跨站點腳本攻擊，指攻擊者通過篡改網頁，嵌入惡意腳本程序，在用戶瀏覽網頁時，控制用戶瀏覽器進行惡意操作的一種攻擊方式。

假設頁面上有一個表單：

如果，用戶輸入的不是一個正常的字符串，而是

"/>

此時，頁面變成下面的內容，在輸入框input的后面帶上了一段腳本代碼。

這端腳本程序只是彈出一個消息框，并不會造成什么危害，攻擊的威力取決于用戶輸入了什么樣的腳本，只要稍微修改，便可使攻擊極具攻擊性。常見的就是用戶一般在評論中或者反饋中使用xss。

<2>如何防范xss

同sql注入一樣。可以限制輸入字符串的長度，對HTML轉義處理。將其中的”<”,”>”等特殊字符進行轉義編碼。

三、csrf攻擊

<1>什么是csrf攻擊

跨站點請求偽造，指攻擊者通過跨站請求，以合法的用戶的身份進行非法操作。可以這么理解CSRF攻擊：攻擊者盜用你的身份，以你的名義向第三方網站發送惡意請求。CRSF能做的事情包括利用你的身份發郵件，發短信，進行交易轉賬，甚至盜取賬號信息。跨站點請求偽造，指攻擊者通過跨站請求，以合法的用戶的身份進行非法操作。可以這么理解CSRF攻擊：攻擊者盜用你的身份，以你的名義向第三方網站發送惡意請求。CRSF能做的事情包括利用你的身份發郵件，發短信，進行交易轉賬，甚至盜取賬號信息。

<2>怎么防止csrf

1. 安全框架使用。比如yii lavarel等。

2. token機制。在HTTP請求中進行token驗證，如果請求中沒有token或者token內容不正確，則認為CSRF攻擊而拒絕該請求。

3. 驗證碼。通常情況下，驗證碼能夠很好的遏制CSRF攻擊，但是很多情況下，出于用戶體驗考慮，驗證碼只能作為一種輔助手段，而不是最主要的解決方案。

4. referer識別。在HTTP Header中有一個字段Referer，它記錄了HTTP請求的來源地址。如果Referer是其他網站，就有可能是CSRF攻擊，則拒絕該請求。但是，服務器并非都能取到Referer。很多用戶出于隱私保護的考慮，限制了Referer的發送。在某些情況下，瀏覽器也不會發送Referer，例如HTTPS跳轉到HTTP。

四、文件上傳漏洞

<1>什么是文件上傳漏洞

文件上傳漏洞，指的是用戶上傳一個可執行的腳本文件，并通過此腳本文件獲得了執行服務端命令的能力。比如用戶上傳一個可以關機的執行文件，你的損失就大發了。

<2>如何防范

1. 文件上傳的目錄設置為不可執行。

2. 判斷文件類型。在判斷文件類型的時候，可以結合使用MIME Type，后綴檢查等方式。因為對于上傳文件，不能簡單地通過后綴名稱來判斷文件的類型，因為攻擊者可以將可執行文件的后綴名稱改為圖片或其他后綴類型，誘導用戶執行。

3. 對上傳的文件類型進行白名單校驗，只允許上傳可靠類型。

4. 上傳的文件需要進行重新命名，使攻擊者無法猜想上傳文件的訪問路徑，將極大地增加攻擊成本，同時向shell.PHP.rar.ara這種文件，因為重命名而無法成功實施攻擊。

5. 限制上傳文件的大小。

6. 單獨設置文件服務器的域名。

五、訪問控制

即RBAC。現在一般網站都已經不存在這種問題了