黑客進犯的類型及阻攔方法:
黑客能采納多種進犯方法對一個網(wǎng)站進行部分或悉數(shù)操控��。一般而言���,風險的而又常見的是跨站點腳本(XSS,cross-site scripting)和SQL植入(injection) �����。
跨站點腳本是一種通過使用網(wǎng)絡(luò)使用程序?qū)用娴陌踩┒�,在網(wǎng)頁中植入歹意代碼的技能。當網(wǎng)絡(luò)使用程序處理通過用戶輸入獲得的數(shù)據(jù)���,并且在回來給終用戶前沒有任何進一步的檢查或驗證時�,這種進犯就可能產(chǎn)生�����。
確保網(wǎng)絡(luò)使用程序不被這種技能侵犯的方法有很多種,在此羅列一些簡單的方法���。
為防止?jié)撛诖跻庾址闹苯又踩���,能夠使用一些?shù)據(jù)編碼,例如����,PHP中的htmlspecialchars功用;
為防止歹意字符直接植入使用程序代碼��,能夠在數(shù)據(jù)庫端和數(shù)據(jù)輸入之間建一個“層”;
除掉能夠被插入到表單中的數(shù)據(jù)輸入�����,如PHP中的strip tags功用�����。
SQL植入是一種在網(wǎng)絡(luò)使用程序中植入歹意代碼的技能���,它使用數(shù)據(jù)庫層面的安全漏洞以達到非法操控數(shù)據(jù)庫目的��。這種技能非常強大��,它能夠操縱網(wǎng)址(查詢字符串)或其他任何形式(登錄���,搜索,電子郵件注冊)以植入歹意代碼���。
當然����,也是有方法防止此類黑客進犯的產(chǎn)生的���。一種是在前端界面和后端數(shù)據(jù)庫之間添加一個“中間層”���。 例如,在PHP中�����,PDO(PHP Data Objects)擴展一般與參數(shù)(有時被稱作placeholder或綁定變量)一起產(chǎn)生效果���,而不是直接將用戶輸入做為指令句子����。另一種極為簡單的技能是字符轉(zhuǎn)義,通過這種方法�����,所有能夠直接影響數(shù)據(jù)庫結(jié)構(gòu)的風險字符都能夠被轉(zhuǎn)義�。例如,參數(shù)中每出現(xiàn)一個單引號[‘]必須代之以兩個單引號[’‘]來形成一個有用的SQL字符串���。這兩種是常見的���,也是能夠采納的,用以防止SQL植入�,改進網(wǎng)站安全的有用方法。 |
咨詢服務(wù)熱線:400-099-8848
