对于现在存在的SQL注入、XSS的攻击,目前有什么好的防御手段?
比如说:
我以GET请求来完成转账A银行网站的转账
http://www.mybank.com/Transfer.php?toBankId=11&money=1000
而银行B存在一段HTML代码如下
http://www.mybank.com/Transfer.php?toBankId=11&money=1000
我访问A,然后访问B,结果发现我的银行卡少了1000元,对于这种攻击有什么好的防护手段??
Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
5
783
收藏
这是你自己的业务逻辑问题,可以使用restful API, 涉及到
修改,添加,删除操作的,不用get请求。你这种的话至少可以判断session,是否为当前用户吧。
对于你所说的另一人访问了这个URL而导致数据库的操作,这叫非授权访问。你应该判断是否有权限才进行下一步操作。
visit 实时应用自我保护
产生sql注入和xss主要是因为用户的输入到了后台变成了代码,在服务器端需要限制的话就是做好输入的验证;也可以考虑在处理前过一下检测,参考modsecurity。
csrf做好请求来源的验证。
不知道是题主猜测的,还是真实存在这样的代码。每次转账请求都是唯一url的,url不可能被重复利用,会利用一个字段进行判断,比如把所有参数md5,还会加上每个客户端的secret key。这样不同的客户端是生成的url是不同的,而且还会加上时间戳,生成的url只有在很短的时间内有效。