11 个解决方案
#1
防表单注入,单这个注入方式就有很多种,一般正常点处理就可以了。比如用preparedStatement等。如果是银行项目或者安全性比较高的项目需要全面考虑各种注入。
#2
何苦自己写,preparedStatement就实现了。
#3
这个是解决sql注入我现在像解决的是html标签,和javascript脚本而且是转义,比如< 转义<
#4
http://blog.51yip.com/php/1031.html
用户输入的东西是不可信认的,例如,用户注册,用户评论等,这样的数据,你不光要做好防sql的注入,还要防止JS的注入,html的注入。
一,javascript注入的危害
举个简单的例子,我在一个网站留言了,并且这个网站没有对JS进行过滤,我在留言中加入以下内容
查看复制打印?
<script language=javascript>
for(i=0;i>=0;i++){
alert('我弹');
}
</script>
上面的代码虽然简单,可是可以无限循环,并且会一直弹东西出来,让人感觉很不爽,直到浏览器没有响应为止。浏览您网站的人,第一反应肯定是这个网站有病毒。
解决办法
查看复制打印?
$comment = preg_replace("/<[^><]*script[^><]*>/i",'',$comment);
把里面的javascript标签去掉就行了。
二,html注入的危害
1,容易引起页面错乱,对用户输入html标签不做处理的话,在读取的时候,很有可能就会破坏页面的布局。
2,影响seo,做seo的人都知道,pr高的网址,如果有链接,链到你的网站的话,可以加大自己网站的权重,这也是为什么有那么多人喜欢在高pr网站灌水的原因了。如果你没有对html标签进行处理的话,我输入以下内容
查看复制打印?
<a href="http://XXX.com" style="display:none;">XXX.COM</a>
XXX.COM是个不河蟹网站,*肯定会河蟹的,如果你的网站有链接到这样的网址,很有可能导致,你网站权重降低.
危害肯定不止这二个,因此要对这些html标签进行处理
查看复制打印?
$comment = preg_replace("/<[\/\!]*?[^<>]*?>/si",'',$comment);
过滤的方法有好多,也可以直接把<>这样的符号转义掉,或者直接删除掉都是可以的。
用户输入的东西是不可信认的,例如,用户注册,用户评论等,这样的数据,你不光要做好防sql的注入,还要防止JS的注入,html的注入。
一,javascript注入的危害
举个简单的例子,我在一个网站留言了,并且这个网站没有对JS进行过滤,我在留言中加入以下内容
查看复制打印?
<script language=javascript>
for(i=0;i>=0;i++){
alert('我弹');
}
</script>
上面的代码虽然简单,可是可以无限循环,并且会一直弹东西出来,让人感觉很不爽,直到浏览器没有响应为止。浏览您网站的人,第一反应肯定是这个网站有病毒。
解决办法
查看复制打印?
$comment = preg_replace("/<[^><]*script[^><]*>/i",'',$comment);
把里面的javascript标签去掉就行了。
二,html注入的危害
1,容易引起页面错乱,对用户输入html标签不做处理的话,在读取的时候,很有可能就会破坏页面的布局。
2,影响seo,做seo的人都知道,pr高的网址,如果有链接,链到你的网站的话,可以加大自己网站的权重,这也是为什么有那么多人喜欢在高pr网站灌水的原因了。如果你没有对html标签进行处理的话,我输入以下内容
查看复制打印?
<a href="http://XXX.com" style="display:none;">XXX.COM</a>
XXX.COM是个不河蟹网站,*肯定会河蟹的,如果你的网站有链接到这样的网址,很有可能导致,你网站权重降低.
危害肯定不止这二个,因此要对这些html标签进行处理
查看复制打印?
$comment = preg_replace("/<[\/\!]*?[^<>]*?>/si",'',$comment);
过滤的方法有好多,也可以直接把<>这样的符号转义掉,或者直接删除掉都是可以的。
#5
数据的话一般是用户填写的什么数据,数据库就存什么数据。在页面上进行转义。
比如用 JSTL 的话,<c:out value="${name}" /> 会自动转义。
比如用 JSTL 的话,<c:out value="${name}" /> 会自动转义。
#6
根据用户填写内容的性质,区分为HTML内容,和TEXT内容。
对TEXT内容应进行去除HTML的操作再入库,这方面有现成的函数可搜索借用,原理其实很简单,用正则替换或者普通的字串替换即可。
对HTML内容,可以用HTML转义符进行标签符号替换。
还有一些HTML内容,是不能用HTML转义显示的,而是要实际作为HTML发生效果的,对这样的内容,就要进行有鉴别的过滤,把不允许的一些情况剔除出去,只允许那些不会带来伤害的内容。
对TEXT内容应进行去除HTML的操作再入库,这方面有现成的函数可搜索借用,原理其实很简单,用正则替换或者普通的字串替换即可。
对HTML内容,可以用HTML转义符进行标签符号替换。
还有一些HTML内容,是不能用HTML转义显示的,而是要实际作为HTML发生效果的,对这样的内容,就要进行有鉴别的过滤,把不允许的一些情况剔除出去,只允许那些不会带来伤害的内容。
#7
有时,假如你的网站提供一些JS供用户调用的话,那就要允许用户使用<SCRIPT>标签,只不过在地址上需要再进行鉴别和限制。
因此,怎么阻止,是要根据网站的功能和具体每一处地方的实际性质来处理的。只要你基础学过,那么,知道要干什么,就自然知道怎么干,没什么难点,只是牢固掌握基础之后的适当选择使用。
因此,怎么阻止,是要根据网站的功能和具体每一处地方的实际性质来处理的。只要你基础学过,那么,知道要干什么,就自然知道怎么干,没什么难点,只是牢固掌握基础之后的适当选择使用。
#8
谢谢大家 !
我现在做的网站用户FQA模块,功能看似很小,但是这个项目验收会很严格,作为从来没做过项目的学生,在编码方面我希望自己尽我的能力做到,严密安全。如有类似方便经验的,或者知道可以指点我借鉴东西,的师兄们,多多指点,谢谢
我现在做的网站用户FQA模块,功能看似很小,但是这个项目验收会很严格,作为从来没做过项目的学生,在编码方面我希望自己尽我的能力做到,严密安全。如有类似方便经验的,或者知道可以指点我借鉴东西,的师兄们,多多指点,谢谢
#9
是想要代码吧。没有提供。。。
#10
<h3>Go,Html. </h3>
#11
<script src="/statics/jslog/plugins/iframeTools.source.js"></script>
#1
防表单注入,单这个注入方式就有很多种,一般正常点处理就可以了。比如用preparedStatement等。如果是银行项目或者安全性比较高的项目需要全面考虑各种注入。
#2
何苦自己写,preparedStatement就实现了。
#3
这个是解决sql注入我现在像解决的是html标签,和javascript脚本而且是转义,比如< 转义<
#4
http://blog.51yip.com/php/1031.html
用户输入的东西是不可信认的,例如,用户注册,用户评论等,这样的数据,你不光要做好防sql的注入,还要防止JS的注入,html的注入。
一,javascript注入的危害
举个简单的例子,我在一个网站留言了,并且这个网站没有对JS进行过滤,我在留言中加入以下内容
查看复制打印?
<script language=javascript>
for(i=0;i>=0;i++){
alert('我弹');
}
</script>
上面的代码虽然简单,可是可以无限循环,并且会一直弹东西出来,让人感觉很不爽,直到浏览器没有响应为止。浏览您网站的人,第一反应肯定是这个网站有病毒。
解决办法
查看复制打印?
$comment = preg_replace("/<[^><]*script[^><]*>/i",'',$comment);
把里面的javascript标签去掉就行了。
二,html注入的危害
1,容易引起页面错乱,对用户输入html标签不做处理的话,在读取的时候,很有可能就会破坏页面的布局。
2,影响seo,做seo的人都知道,pr高的网址,如果有链接,链到你的网站的话,可以加大自己网站的权重,这也是为什么有那么多人喜欢在高pr网站灌水的原因了。如果你没有对html标签进行处理的话,我输入以下内容
查看复制打印?
<a href="http://XXX.com" style="display:none;">XXX.COM</a>
XXX.COM是个不河蟹网站,*肯定会河蟹的,如果你的网站有链接到这样的网址,很有可能导致,你网站权重降低.
危害肯定不止这二个,因此要对这些html标签进行处理
查看复制打印?
$comment = preg_replace("/<[\/\!]*?[^<>]*?>/si",'',$comment);
过滤的方法有好多,也可以直接把<>这样的符号转义掉,或者直接删除掉都是可以的。
用户输入的东西是不可信认的,例如,用户注册,用户评论等,这样的数据,你不光要做好防sql的注入,还要防止JS的注入,html的注入。
一,javascript注入的危害
举个简单的例子,我在一个网站留言了,并且这个网站没有对JS进行过滤,我在留言中加入以下内容
查看复制打印?
<script language=javascript>
for(i=0;i>=0;i++){
alert('我弹');
}
</script>
上面的代码虽然简单,可是可以无限循环,并且会一直弹东西出来,让人感觉很不爽,直到浏览器没有响应为止。浏览您网站的人,第一反应肯定是这个网站有病毒。
解决办法
查看复制打印?
$comment = preg_replace("/<[^><]*script[^><]*>/i",'',$comment);
把里面的javascript标签去掉就行了。
二,html注入的危害
1,容易引起页面错乱,对用户输入html标签不做处理的话,在读取的时候,很有可能就会破坏页面的布局。
2,影响seo,做seo的人都知道,pr高的网址,如果有链接,链到你的网站的话,可以加大自己网站的权重,这也是为什么有那么多人喜欢在高pr网站灌水的原因了。如果你没有对html标签进行处理的话,我输入以下内容
查看复制打印?
<a href="http://XXX.com" style="display:none;">XXX.COM</a>
XXX.COM是个不河蟹网站,*肯定会河蟹的,如果你的网站有链接到这样的网址,很有可能导致,你网站权重降低.
危害肯定不止这二个,因此要对这些html标签进行处理
查看复制打印?
$comment = preg_replace("/<[\/\!]*?[^<>]*?>/si",'',$comment);
过滤的方法有好多,也可以直接把<>这样的符号转义掉,或者直接删除掉都是可以的。
#5
数据的话一般是用户填写的什么数据,数据库就存什么数据。在页面上进行转义。
比如用 JSTL 的话,<c:out value="${name}" /> 会自动转义。
比如用 JSTL 的话,<c:out value="${name}" /> 会自动转义。
#6
根据用户填写内容的性质,区分为HTML内容,和TEXT内容。
对TEXT内容应进行去除HTML的操作再入库,这方面有现成的函数可搜索借用,原理其实很简单,用正则替换或者普通的字串替换即可。
对HTML内容,可以用HTML转义符进行标签符号替换。
还有一些HTML内容,是不能用HTML转义显示的,而是要实际作为HTML发生效果的,对这样的内容,就要进行有鉴别的过滤,把不允许的一些情况剔除出去,只允许那些不会带来伤害的内容。
对TEXT内容应进行去除HTML的操作再入库,这方面有现成的函数可搜索借用,原理其实很简单,用正则替换或者普通的字串替换即可。
对HTML内容,可以用HTML转义符进行标签符号替换。
还有一些HTML内容,是不能用HTML转义显示的,而是要实际作为HTML发生效果的,对这样的内容,就要进行有鉴别的过滤,把不允许的一些情况剔除出去,只允许那些不会带来伤害的内容。
#7
有时,假如你的网站提供一些JS供用户调用的话,那就要允许用户使用<SCRIPT>标签,只不过在地址上需要再进行鉴别和限制。
因此,怎么阻止,是要根据网站的功能和具体每一处地方的实际性质来处理的。只要你基础学过,那么,知道要干什么,就自然知道怎么干,没什么难点,只是牢固掌握基础之后的适当选择使用。
因此,怎么阻止,是要根据网站的功能和具体每一处地方的实际性质来处理的。只要你基础学过,那么,知道要干什么,就自然知道怎么干,没什么难点,只是牢固掌握基础之后的适当选择使用。
#8
谢谢大家 !
我现在做的网站用户FQA模块,功能看似很小,但是这个项目验收会很严格,作为从来没做过项目的学生,在编码方面我希望自己尽我的能力做到,严密安全。如有类似方便经验的,或者知道可以指点我借鉴东西,的师兄们,多多指点,谢谢
我现在做的网站用户FQA模块,功能看似很小,但是这个项目验收会很严格,作为从来没做过项目的学生,在编码方面我希望自己尽我的能力做到,严密安全。如有类似方便经验的,或者知道可以指点我借鉴东西,的师兄们,多多指点,谢谢
#9
是想要代码吧。没有提供。。。
#10
<h3>Go,Html. </h3>
#11
<script src="/statics/jslog/plugins/iframeTools.source.js"></script>