5.常见的web安全及防护原理

1.sql注入

将sql代码伪装到输入参数中，传输到服务器解析并执行的一种攻击手法

a.对用户输入进行校验

b.不使用动态拼接sql

2.xss:跨站脚本攻击

往web页面中插入恶意的html标签或者js代码，例如放置一个看似安全的链接，窃取用户的cookie信息

a.尽量采用post方法提交表单而不是get

b.避免cookie中泄露用户隐私

3.CSRF：跨站请求攻击

通过伪装来自受信任用户的请求，来获取数据

a.页面增加伪随机数来验证