web安全防护及原理注入原理注入

在Web表单提交中插入sql命令或输入页面请求的域名或查询字符串，最终欺骗服务器执行恶意sql命令。

解决方案：

1.验证用户输入、限制长度等。

2.不要使用动态组装SQL。 您可以使用参数化SQL或直接使用存储过程进行数据查询和访问。

3、不要使用管理员权限的数据库连接

4. 不要以纯文本形式存储机密信息

xss：攻击者在网页中插入恶意html标签或js代码（例如：在论坛中放置恶意链接，用户点击获取使用信息）

1.使用post而不是get。 post 和 get 的区别：

(1)get通常用于接收数据，post用于发送数据。

(2) get传输的数据有长度限制，post传输的数据没有长度限制。

(3) get请求参数会保留在浏览器上，但post不会

2.避免直接泄露用户隐私

例如，为了保持稳定的登录状态，令牌（即您的帐户密码）通常会保存在浏览器中，并设置过期时间。 该网站验证您的登录状态。 其实最终是基于，如果你的网站没有IP限制（一般是没有限制的），我可以把你的复制粘贴到另一台电脑上，然后再设置。 这与登录您的帐户和密码相同。

3、CSRF xss与csrf的区别：xss在事先不知道其他用户页面的代码和数据包的情况下获取信息

csrf代表用户完成指定的动作，需要知道其他用户页面的代码和数据包

解决方案：

1、客户端页面添加伪随机数

2.通过验证码方法

从输入URL到完成页面加载并显示页面的过程中发生了什么？浏览器本地存储

在较新的浏览器中，js 和 . 在html5中提供了替换。

用于在本地存储()中的数据。 这些数据只能被同一会话中的页面访问，并且当会话结束时数据将被销毁。 所以它不是持久性本地存储，只是会话级存储。

对于用于持久化的本地存储来说最安全的浏览器，除非主动删除数据，否则数据永远不会过期。

和 之间的区别