Web攻击原理及其防护

Dos、DDos攻击

拒绝服务攻击。攻击者想办法让目标服务器停止提供服务或资源访问。攻击者进行攻击时实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是通过IP欺骗，迫使服务器把合法用户的连接复位，影响用户的连接。

防护：
1. 建立ip白名单，禁止异常ip访问。
2. 使用验证码机制

跨站点请求伪造CSRF

攻击者盗用用户身份，通过伪造的身份以用户的名义进行非法请求从而在未经用户许可下完成某些非法操作。

防护：
1. 禁止跨域请求。
2. 检验referrer头部拒绝白名单以外的网站请求。
3. CSRF Tokens
1. 服务器发送给客户端一个token
2. 客户端提交的表单携带这个token
3. 如果token不合法，服务器拒绝请求。

SQL注入攻击

通过对web连接的数据库发送恶意SQL语句对网站进行攻击。

防护：
避免直接执行原生sql语句，可以使用PDO、mysqli或其他框架提供的方法来操作数据库。

XSS攻击

　跨站脚本攻击，是指在通过注册的网站用户的浏览器内运行非法的HTML标签或javascript，从而达到攻击的目的，如盗取用户的cookie，改变网页的DOM结构，重定向到其他网页等。

防护：
对用户提交的字符串进行转义。