什么样的代码可以破坏我的网站
我想通过在输入字段中插入代码来确保恶意用户不会损坏我的网站或数据库。 我应该用什么样的代码来测试它? 我知道有像iframe这样的html标签,但我不知道要在里面测试它。
感谢。
4 个答案:
答案 0 :(得分:2)
HTML
我认为使用htmlspecialchars(doc)(它是PHP中的一个函数,但其他语言可能具有相似的功能)或使用其他标记系统(?),如phpBB和MediaWiki将起作用。使用黑/白名单标签的HTML标签可以正常工作,但这非常危险 - 破解者会通过XSSing损害您的网站。
例如,您可能认为仅允许p,br,img,font,a是正常的(顺便说一下,这对我们来说并不好当可以使用CSS时使用font,但可以通过输入<img src="asdf" onerror="alert('hi')"/>或<a href="javascript:alert('hi')">来完成XSS。
SQL
你应该知道SQLi - 注入SQL命令。
SQLi的一个例子是:
避免在PHP中使用SQLi的一种方法是使用mysql_real_escape_string(doc)。
答案 1 :(得分:1)
您可以阅读SQL Injections
答案 2 :(得分:1)
插入特殊字符,尤其是',?,",$,;,,和\。如果您的网站没有失败,那么您就走在了正确的轨道上。
但最好是使用带参数的查询。您只需将字符串作为参数传递,数据库将负责为您转义字符。如果你这样做,你几乎不会犯错误。
答案 3 :(得分:0)
这实际上取决于架构和用户与您网站的互动。 SQL注入用户输入的字段是对使用数据库进行用户登录等的系统的典型攻击。因此,对用户字段的限制进入用户字段并在使用前对其进行筛选。
“关于你的儿子......” “哦,小比利!放桌子?”
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?