黑客能采取多种攻击方式对一个网站进行部分或全部控制。一般而言,最危险的而又最常见的是跨站点脚本(XSS,cross-site scripting)和SQL植入(injection) 。
跨站点脚本是一种通过利用网络应用程序层面的安全漏洞,在网页中植入恶意代码的技术。当网络应用程序处理通过用户输入获得的数据,并且在返回给最终用户前没有任何进一步的检查或验证时,这种攻击就可能发生。
确保网络应用程序不被这种技术侵犯的方法有很多种,在此列举一些简单的方法。
为避免潜在恶意字符的直接植入,可以利用一些数据编码,例如,PHP中的htmlspecialchars功能;
为避免恶意字符直接植入应用程序代码,可以在数据库端和数据输入之间建一个“层”;
剔除可以被插入到表单中的数据输入,如PHP中的strip tags功能。
SQL植入是一种在网络应用程序中植入恶意代码的技术,它利用数据库层面的安全漏洞以达到非法控制数据库目的。这种技术非常强大,它可以操纵网址(查询字符串)或其他任何形式(登录,搜索,电子邮件注册)以植入恶意代码。
当然,也是有办法避免此类黑客攻击的发生的。一种是在前端界面和后端
数据库之间增加一个“中间层”。 例如,在PHP中,PDO(PHP Data Objects)扩展通常与参数(有时被称作placeholder或绑定变量)共同发生作用,而不是直接将用户输入做为命令语句。另一种极为简单的技术是字符转义,通过这种方式,所有可以直接影响数据库结构的危险字符都可以被转义。例如,参数中每出现一个单引号[‘]必须代之以两个单引号[’‘]来形成一个有效的SQL字符串。这两种是最常见的,也是可以采取的,用以避免SQL植入,改进网站安全的有效方式。
相关新闻