网站程序两个安全问题介绍

网站程序两个安全问题介绍。

主要内容来源于书本。

参考资料：《PHP+MySQL网站开发项目式教程》，作者：传智播客，2016年8月第一版，196-199页。

1、防御SQL注入。

其产生的原因是开发人员未对用户的输入的数据进行过滤就拼接到SQL语句中执行，导致用户输入的一些特殊字符破坏了原有SQL语句的逻辑，造成数据泄露，被篡改、删除等危险的后果。包括账号密码，私密信息等等。

防御方法：1、提高程序代码的安全性。2、对用户的输入进行严格的检查，防止恶意代码被拼接到HTML页面中。3、使用安全框架开发网站程序。

二、防御XSS攻击。

对用户输入的数据未经过滤就拼接到HTML页面中，造成攻击者可以通过输入JavaScript代码来盗取网站用户的Cookie。由于Cookie在网站中承载着保护用户登录信息的作用，一旦Cookie被盗取，攻击者就得到了受害用户登录后的权限，从而造成一系列的危险的后果。

防御方法：1、提高cookie的安全性。2、对用户的输入进行严格的检查，防止恶意代码被拼接到HTML页面中。3、使用安全框架开发网站程序。