SQL 注入

说一万遍了,防范 SQL 注入不是替换关键词,彻底杜绝只需要做两点:一、对进入 sql 语句的数字先进行类型转换; 二、对进入 sql 语句的字符,将单引号 ("'") 替换为两个单引号 ("''") 。 查看详细

XSS

Cross Site Script 跨站点脚本攻击,为了与层叠样式表单 CSS 区别,缩写为 XSS。 也就是对用户的数据,没有经过 Server.HTMLEncode 编码,导致用户可以自由运行 JavaScript 等内容。 查看详细

CSRF

Cross Site Request Forgery, 跨站域请求伪造。举个例子,有一个网站内容管理系统,删除信息时用的是 GET 请求,比如 http://www.cftea.com/admin/delete.asp?infoId=1(后面我们将省略 URL 中 admin 及前面的部分)。其中 infoId 就是指示要删除哪条信息。 现在有一个黑客,他写了一个地址 delete.asp?infoId=2,并且把这个网址发给管理员,假如恰好管理员已经登录了后台,此时管理员点击这个链接,infoId 为 2 的那条信息就被误删了。 查看详细