sql防注入攻击与xss攻击

SQL注入

1. 简介
   sql注入及时攻击者将sql命令插入到web表单的输入域或页面请求的查询字符串，欺负服务器执行恶意的sql命令​
2. 方法
   1）验证数据，根据相应类型进行严格的验证
   字符，先通过sprintf函数格式化输出，再通过一些安全函数去掉一些不合法的字符，如addslashes()方法等
   2）​参数化绑定，PHP 中的 mysqli 和 PDO 可实现参数绑定
   参考文档: http://www.cnblogs.com/liuzhang/p/4753467.html

xss​攻击
XSS又称CSS，全称Cross SiteScript(跨站脚本攻击)， XSS攻击类似于SQL注入攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。

1. 注入方式
   1）xss输入通常包含JavaScript脚本，弹出恶意广告等
   2）xss输入HTML代码，使网页不停地刷新​，嵌入其它网站的链接
2. 方法
   1）​输入检查，针对用户输入的数据中是否包含一些特殊字符，进行过滤
   2）输出检查，​HTML标签、HTML属性、script标签、事件、css、地址等中的输出
   3）​处理富文本，严格控制标签，使用成熟的开源框架
   4）防御DOM Based XSS，从JavaScript中输出数据到html页面里