摘要:sql injection:sql尽可能使用变量绑定方式,没有条件的做好转义,类似的还有其他存储方式如:xml等也有可能存在注入的情况
首先对Web的安全有一个了解
1、服务配置层面:账号、权限是否合理
2、sql injection:sql尽可能使用变量绑定方式,没有条件的做好转义,类似的还有其他存储方式如:xml等也有可能存在注入的情况
3、文件上传,如果你的程序包含相关功能,检查是否有做好校验,千万注意上传文件存储/中转目录的权限
4、XSS:对用户的输入、输出进行必要的过滤
5、CSRF:请求来源/表单校验
6、业务层面的漏洞:看着办
总之就是一切用户输入都是不可信任的
1、服务配置层面:账号、权限是否合理
2、sql injection:sql尽可能使用变量绑定方式,没有条件的做好转义,类似的还有其他存储方式如:xml等也有可能存在注入的情况
3、文件上传,如果你的程序包含相关功能,检查是否有做好校验,千万注意上传文件存储/中转目录的权限
4、XSS:对用户的输入、输出进行必要的过滤
5、CSRF:请求来源/表单校验
6、业务层面的漏洞:看着办
总之就是一切用户输入都是不可信任的
公安备案:皖公网安备34019102000119号 
