首页 开发编程 正文

php占位符怎么写

程序员这个行业其实入门不高,想办法学习和去做延长自己职业生涯的事情。作为一名普通的程序员我们能做的只能是不断学习:在这里搞设计先说几个覆盖设计领域广泛的设计网站吧,搞设计给大家推荐几个个人认为好看好用能抗能打的在线工具类小网站,//huabanpro.com/↑花瓣网一个帮你收集、发现网络上你喜欢的事物的网站:可以更直观地表现每个用户...

php占位符怎么写,而不是像医生律师一样越老越值钱?

程序员的35岁就要退休了吗?程序员这个行业其实入门不高,但是技术更新迭代太快了,技术周期短,你今天学的技术,可能明天就过时了,后天又要重新学习一门新的技术。所以,经验的积累用处是有限的,35 再好的程序员也学不过 25 岁的年轻人。

反观医生和律师这一类的的行业,医学、法律知识虽然会有变化,但是周期很长,而且变化都不大,基本都是在原有基础上扩展,从业者有足够的精力和时间去学习。所以这种行业经验的积累是非常重要的,你的资历越老,工作年限越久,经验就更加丰富,人们就会更加信任这样的医生和律师,假如医院里年轻的医生为你看病你心理都有会所疑虑吧?

目前国内的大多数程序员其实编程靠的不是脑力,而是体力,是掌握核心技术的人员只在少数。从目前 IT 情况看,大部分人普通的程序员就像是工厂车间上流水线上拧螺丝的工人一样,。从这方面来讲,医生和律师却一直都是脑力劳动。而且门槛也不一样。医生和律师都需要考取国家认可的证书或者执照才能上岗,程序员的门槛低到没有任何条件。所以,所以这也就导致了行业门槛相对很低,人口红利,竞争,门槛低就形成了体力劳动的效果。

技术更新换代快,我们应该想办法去提高自己的能力,去做一些延长职业生涯的事情。不断学习增值,你会的知识越多,道路就越远,这样你拥有的选择才能更多。所以你向往高阶技术方向发展,就要不断学习;跳出舒适圈,原地踏步就是后退、新技术层出不穷,不学习就会被落下。如果想要成为一个优秀的程序员,就要坚持一直学习,这样才能跟上互联网的节奏;近年来互联网的技术高速发展,吸引非常多的人投身到这个行业中。想办法学习和去做延长自己职业生涯的事情。这样我们才不会沦为软件工厂里的螺丝钉,才不会成为一个体力劳动者。

最后:

作为一名普通的程序员我们能做的只能是不断学习,提升自己的技术水平,提高自身竞争力,让35岁危机离我们越来越远。

有哪些设计网站值得推荐?

您好,很高兴回答您的问题。关注【搞设计】,一起搞设计。

不知道楼主说的是哪一方面的设计师,在这里搞设计先说几个覆盖设计领域广泛的设计网站吧,不过今天最主要的是,搞设计给大家推荐几个个人认为好看好用能抗能打的在线工具类小网站,帮助大家工作起来事半功倍。准备好了吗,开始吧!

1.花瓣网(前几天刚刚复活...)

http://huabanpro.com/

↑ 花瓣网一个帮你收集、发现网络上你喜欢的事物的网站。用户可以把各种各样的采集放入不同画板,并以你的方式给画板命名。“画板”可以更直观地表现每个用户的特质、品味、生活态度……等等。其他用户不但可以通过“画板”更充分的了解你,并与你互动,而且还能将你的“花瓣”再“采”到自己的画板上,赋予新的定义。在“花瓣网”,兴趣与品味构成了人与人之间的联系。

↑ 花瓣涉及到的领域很多,无论哪方面的设计都可以上花瓣寻找灵感收集素材

2.站酷网

https://www.zcool.com.cn/

↑ 站酷网,是综合性"设计师社区",聚集了中国部分设计师、艺术院校师生、潮流艺术家等年轻创意设计人群。“站酷网”一直致力于促进设计师之间的交流与互励,并致力于将创意作品进行更广泛的传播与推介,提高中国原创设计的影响力。

↑ 站酷网同样涉及领域很多很全面

3.Behance

https://www.behance.net

↑ Behance 是 2006 年创立的著名设计社区,是展示和发现创意作品的领先在线平台,同时也是 Adobe 系列的一部分。Behance 的管理团队每天都会从各种领域中的顶级组合探索出新作品。这些领域包括设计、时尚、插图、工业设计、建筑、摄影、美术、广告、排版、动画、声效以及更多。

↑ 同样分类非常多

4.Dribbble

https://dribbble.com

↑ Dribbble是一个面向创作家、艺术工作者、设计师等创意类作品的人群,提供作品在线服务,供网友在线查看已经完成的作品或者正在创作的作品的交流网站。Dribbble的作品整体质量却非常高,许多摄影师、设计师和其他创意产业人士都喜欢在这里展示其未完成的设计,通过与其他设计师的共同探讨来激发自己的灵感。

弱弱的说一下,3、4网站最好使用梯子,否则速度会。。

不过以上都不是重点,真正的重点开始了!走心又好用的在线工具网站推荐开始了!

1.http://www.gridzzly.com/

设计师经常需要在纸上写写画画,找找灵感,记录一下闪光点。在空白纸上画总感觉缺点什么,如果加上一些小格子背景,瞬间就感觉高大上起来,好像自己一下从青铜变成了王者。上面这个网站就是一个可以自定义各种网格背景的网站,还可以打印出来。

↑ 打开网站是这个样子的,上面一行图标可以进行网格背景的图案切换,下面的两个滑块可以改变网格的大小和颜色深浅。切换图案的时候,网站背景会实时预览。

↑ 动图感受一下

↑ 设置好以后点击黄色的“PRINT”按钮,就可以打印出来了。

2.

https://codepen.io/tsuhre/full/BYbjyg

炫光背景生成

↑ 一个可以生成酷炫光影背景的网站,做banner、ppt背景图必备啊,再也不怕老板让我做科技风了,鼠标点击可以随机切换炫光背景

↑ 上动图

↑ 随便保存一张做个宣传图,妥妥的毫无压力

3.

http://weavesilk.com/

另一个炫光背景网站

↑ 跟上一个炫光网站不同的是,这个不是系统自动生成,还是通过鼠标拖动生成的

↑ 点击左上角的“controls”可以设置光线的颜色

↑ 动图感受

↑ 如果不想拖出对称的光线,可以把Mirror across center这个选项改成off,这样就不对称了

↑ 随便拖个ps,还可以拖自己的名字、公司logo等

4.

http://www.diyiziti.com/

在线字体生成

↑ 在线转换字体的网站,可转换的字体非常多

↑ 操作方法,选择要转换的字体种类,内容输入要转换的文字,设置好大小和高度,点击在线转换就可以了

↑ 记得将背景颜色设为无,这样就可以保存透明的png图片了

5.

https://imagecompressor.com/zh/

在线图片压缩

↑ 设计的图片过大,影响用户浏览体验,就可以利用这个网站压缩一下,个人感觉比

https://tinypng.com/

(另一个在线压缩网站)更好用,压缩率也更低

↑ 操作方法也很简单,上传一张图片,等待压缩,然后下载就可以了

↑ 还可以手动拖动选择图片质量来获得不同的压缩比

6.

https://pixabay.com/

免费可商用图片

↑ pixabay上图片数量多,免费商用,并且支持中文搜索

↑ 搜个情人节试试,看到可以搜出许多高质量图片,这些图片无论在质量、色调、创意上都非常棒,再也不愁给PPT配图了。

↑ 点击一张图片会进入大图页,右侧有免费下载按钮

↑ 可以清楚的看到版权说明:可以做商业用途并且不用署名

↑ 点击免费下载,会弹出多个尺寸提供下载,简直贴心

7.

https://www.videvo.net/

免费视频下载网站

↑ Videvo网站是一个提供完全免费的视频录像和动态动画视频的网站,和应用于任何商业项目,该网站由位于英国牛津市的小团队在2012年创办,致力于生产和收集一些互联网中免费的视频片段。影片数量高达数千部,并且至少都有 720p(HD 高解析度)以上的画质。

↑ 从网站首页底部这段声明,就可以看出该网站做免费视频的决心。什么,英文看不懂。好吧,八级英语水平的搞设计给大家说一下什么意思吧(捂脸~)大概意思就是,现实中视频素材资源很昂贵,不是每个人都能负担的起。建立Videvo网站的目的时就是希望在网络上创建世界上最大的免费,安全使用的视频和音频内容资源。

↑ 点开一个视频就会进入下载页

↑ 右边的Usage用途一项里,可以看到适用范围是all projects and media,所有的项目和媒介,也就是免费商用的。

↑ 点击FREE DOWNLOAD按钮,视频就下载到本地了。

需要注意的是,虽然Videvo的视频是可以免费商用的,但授权许可方式有所不同,上面举例中的视频不需要任何许可即可使用。有的视频可能会要求做一个署名链接,比如说在视频中说明一下来源,问题也不大。

https://www.videvo.net/blog/how-we-license-our-footage-on-videvo-net/

,这个链接说明了授权的几种形式,大家可以借助翻译软件看看。

↑ 有的视频是需要开通会员才能下载的,这样的忽略即可

8.

https://icons8.com/music/?ref=producthunt

免费音频下载

↑ 这个网站提供了大量免费可商用的音频,做视频的同学一定很需要

↑ 种类非常多,质量也非常好

↑ 网站首页也说明了,虽然是免费可商用的,但是需要提供署名链接

↑ 点击下载后会弹出一个下载链接的窗口,你可以复制这个链接然后粘贴到你的作品说明中某一处,

https://icons8.com/license

这个网页说明了链接的使用方法。

↑ 然后音频就下好了

好了,说了这么多,不知道有没有大家喜欢的网站,大家需要哪方面的网站可以在评论或者私信中留言,希望对大家有所帮助。

常见的web安全漏洞有哪些?

前言:

在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法。

一、XSS

XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。

跨站脚本攻击有可能造成以下影响:

利用虚假输入表单骗取用户个人信息。利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求。显示伪造的文章或图片。

XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。

XSS 的攻击方式千变万化,但还是可以大致细分为几种类型。

1.非持久型 XSS(反射型 XSS )

非持久型 XSS 漏洞,一般是通过给别人发送带有恶意脚本代码参数的 URL,当 URL 地址被打开时,特有的恶意代码参数被 HTML 解析、执行。

举一个例子,比如页面中包含有以下代码:

<select> <script> document.write('' + '<option value=1>' + location.href.substring(location.href.indexOf('default=') + 8) + '</option>' ); document.write('<option value=2>English</option>'); </script> </select>

攻击者可以直接通过 URL (类似:https://xxx.com/xxx?default=<script>alert(document.cookie)</script>) 注入可执行的脚本代码。不过一些浏览器如Chrome其内置了一些XSS过滤器,可以防止大部分反射型XSS攻击。

非持久型 XSS 漏洞攻击有以下几点特征:

即时性,不经过服务器存储,直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击,拿到用户隐私数据。攻击者需要诱骗点击,必须要通过用户点击链接才能发起反馈率低,所以较难发现和响应修复盗取用户敏感保密信息

为了防止出现非持久型 XSS 漏洞,需要确保这么几件事情:

Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。尽量不要从 URL,document.referrer,document.forms 等这种 DOM API 中获取数据直接渲染。尽量不要使用 eval, new Function(),document.write(),document.writeln(),window.setInterval(),window.setTimeout(),innerHTML,document.createElement() 等可执行字符串的方法。如果做不到以上几点,也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转义。前端渲染的时候对任何的字段都需要做 escape 转义编码。

2.持久型 XSS(存储型 XSS)

持久型 XSS 漏洞,一般存在于 Form 表单提交等交互功能,如文章留言,提交文本信息等,黑客利用的 XSS 漏洞,将内容经正常功能提交进入数据库持久保存,当前端页面获得后端从数据库中读出的注入代码时,恰好将其渲染执行。

举个例子,对于评论功能来说,就得防范持久型 XSS 攻击,因为我可以在评论中输入以下内容

主要注入页面方式和非持久型 XSS 漏洞类似,只不过持久型的不是来源于 URL,referer,forms 等,而是来源于后端从数据库中读出来的数据 。持久型 XSS 攻击不需要诱骗点击,黑客只需要在提交表单的地方完成注入即可,但是这种 XSS 攻击的成本相对还是很高。

攻击成功需要同时满足以下几个条件:

POST 请求提交表单后端没做转义直接入库。后端从数据库中取出数据没做转义直接输出给前端。前端拿到后端数据没做转义直接渲染成 DOM。

持久型 XSS 有以下几个特点:

持久性,植入在数据库中盗取用户敏感私密信息危害面广

3.如何防御

对于 XSS 攻击来说,通常有两种方式可以用来防御。

1) CSP

CSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。

通常可以通过两种方式来开启 CSP:

设置 HTTP Header 中的 Content-Security-Policy设置 meta 标签的方式

这里以设置 HTTP Header 来举例:

只允许加载本站资源

Content-Security-Policy: default-src 'self'

只允许加载 HTTPS 协议图片

Content-Security-Policy: img-src https://*

允许加载任何来源框架

Content-Security-Policy: child-src 'none'

如需了解更多属性,请查看Content-Security-Policy文档

对于这种方式来说,只要开发者配置了正确的规则,那么即使网站存在漏洞,攻击者也不能执行它的攻击代码,并且 CSP 的兼容性也不错。

2) 转义字符

用户的输入永远不可信任的,最普遍的做法就是转义输入输出的内容,对于引号、尖括号、斜杠进行转义

function escape(str) { str = str.replace(/&/g, '&') str = str.replace(/</g, '<') str = str.replace(/>/g, '>') str = str.replace(/"/g, '&quto;') str = str.replace(/'/g, ''') str = str.replace(/`/g, '`') str = str.replace(/\//g, '/') return str }

但是对于显示富文本来说,显然不能通过上面的办法来转义所有字符,因为这样会把需要的格式也过滤掉。对于这种情况,通常采用白名单过滤的办法,当然也可以通过黑名单过滤,但是考虑到需要过滤的标签和标签属性实在太多,更加推荐使用白名单的方式。

const xss = require('xss') let html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>') // -> <h1>XSS Demo</h1><script>alert("xss");</script> console.log(html)

以上示例使用了 js-xss 来实现,可以看到在输出中保留了 h1 标签且过滤了 script 标签。

3) HttpOnly Cookie。

这是预防XSS攻击窃取用户cookie最有效的防御手段。Web应用程序在设置cookie时,将其属性设为HttpOnly,就可以避免该网页的cookie被客户端恶意JavaScript窃取,保护用户cookie信息。

二、CSRF

CSRF(Cross Site Request Forgery),即跨站请求伪造,是一种常见的Web攻击,它利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。

1. CSRF攻击的原理

下面先介绍一下CSRF攻击的原理:

完成 CSRF 攻击必须要有三个条件:

用户已经登录了站点 A,并在本地记录了 cookie在用户没有登出站点 A 的情况下(也就是 cookie 生效的情况下),访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。站点 A 没有做任何 CSRF 防御

我们来看一个例子: 当我们登入转账页面后,突然眼前一亮惊现"XXX隐私照片,不看后悔一辈子"的链接,耐不住内心躁动,立马点击了该危险的网站(页面代码如下图所示),但当这页面一加载,便会执行submitForm这个方法来提交转账请求,从而将10块转给黑客。

2.如何防御

防范 CSRF 攻击可以遵循以下几种规则:

Get 请求不对数据进行修改不让第三方网站访问到用户 Cookie阻止第三方网站请求接口请求时附带验证信息,比如验证码或者 Token

1) SameSite

可以对 Cookie 设置 SameSite 属性。该属性表示 Cookie 不随着跨域请求发送,可以很大程度减少 CSRF 的攻击,但是该属性目前并不是所有浏览器都兼容。

2) Referer Check

HTTP Referer是header的一部分,当浏览器向web服务器发送请求时,一般会带上Referer信息告诉服务器是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。可以通过检查请求的来源来防御CSRF攻击。正常请求的referer具有一定规律,如在提交表单的referer必定是在该页面发起的请求。所以通过检查http包头referer的值是不是这个页面,来判断是不是CSRF攻击。

但在某些情况下如从https跳转到http,浏览器处于安全考虑,不会发送referer,服务器就无法进行check了。若与该网站同域的其他网站有XSS漏洞,那么攻击者可以在其他网站注入恶意脚本,受害者进入了此类同域的网址,也会遭受攻击。出于以上原因,无法完全依赖Referer Check作为防御CSRF的主要手段。但是可以通过Referer Check来监控CSRF攻击的发生。

3) Anti CSRF Token

目前比较完善的解决方案是加入Anti-CSRF-Token。即发送请求时在HTTP 请求中以参数的形式加入一个随机产生的token,并在服务器建立一个拦截器来验证这个token。服务器读取浏览器当前域cookie中这个token值,会进行校验该请求当中的token和cookie当中的token值是否都存在且相等,才认为这是合法的请求。否则认为这次请求是违法的,拒绝该次服务。

这种方法相比Referer检查要安全很多,token可以在用户登陆后产生并放于session或cookie中,然后在每次请求时服务器把token从session或cookie中拿出,与本次请求中的token 进行比对。由于token的存在,攻击者无法再构造出一个完整的URL实施CSRF攻击。但在处理多个页面共存问题时,当某个页面消耗掉token后,其他页面的表单保存的还是被消耗掉的那个token,其他页面的表单提交时会出现token错误。

4) 验证码

应用程序和用户进行交互过程中,特别是账户交易这种核心步骤,强制用户输入验证码,才能完成最终请求。在通常情况下,验证码够很好地遏制CSRF攻击。但增加验证码降低了用户的体验,网站不能给所有的操作都加上验证码。所以只能将验证码作为一种辅助手段,在关键业务点设置验证码。

三、点击劫持

点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中,并将 iframe 设置为透明,在页面中透出一个按钮诱导用户点击。

1. 特点

隐蔽性较高,骗取用户操作"UI-覆盖攻击"利用iframe或者其它标签的属性

2. 点击劫持的原理

用户在登陆 A 网站的系统后,被攻击者诱惑打开第三方网站,而第三方网站通过 iframe 引入了 A 网站的页面内容,用户在第三方网站中点击某个按钮(被装饰的按钮),实际上是点击了 A 网站的按钮。接下来我们举个例子:我在优酷发布了很多视频,想让更多的人关注它,就可以通过点击劫持来实现

iframe { width: 1440px; height: 900px; position: absolute; top: -0px; left: -0px; z-index: 2; -moz-opacity: 0; opacity: 0; filter: alpha(opacity=0); } button { position: absolute; top: 270px; left: 1150px; z-index: 1; width: 90px; height:40px; } </style> ...... <button>点击脱衣</button> <img src="http://pic1.win4000.com/wallpaper/2018-03-19/5aaf2bf0122d2.jpg"> <iframe src="http://i.youku.com/u/UMjA0NTg4Njcy" scrolling="no"></iframe>

从上图可知,攻击者通过图片作为页面背景,隐藏了用户操作的真实界面,当你按耐不住好奇点击按钮以后,真正的点击的其实是隐藏的那个页面的订阅按钮,然后就会在你不知情的情况下订阅了。

3. 如何防御

1)X-FRAME-OPTIONS

X-FRAME-OPTIONS是一个 HTTP 响应头,在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防御用 iframe 嵌套的点击劫持攻击。

该响应头有三个值可选,分别是

DENY,表示页面不允许通过 iframe 的方式展示SAMEORIGIN,表示页面可以在相同域名下通过 iframe 的方式展示ALLOW-FROM,表示页面可以在指定来源的 iframe 中展示

2)JavaScript 防御

对于某些远古浏览器来说,并不能支持上面的这种方式,那我们只有通过 JS 的方式来防御点击劫持了。

<head> <style id="click-jack"> html { display: none !important; } </style> </head> <body> <script> if (self == top) { var style = document.getElementById('click-jack') document.body.removeChild(style) } else { top.location = self.location } </script> </body>

以上代码的作用就是当通过 iframe 的方式加载页面时,攻击者的网页直接不显示所有内容了。

给大家推荐一个好用的BUG监控工具Fundebug,欢迎免费试用!

四、URL跳转漏洞

定义:借助未验证的URL跳转,将应用程序引导到不安全的第三方区域,从而导致的安全问题。

1.URL跳转漏洞原理

黑客利用URL跳转漏洞来诱导安全意识低的用户点击,导致用户信息泄露或者资金的流失。其原理是黑客构建恶意链接(链接需要进行伪装,尽可能迷惑),发在QQ群或者是浏览量多的贴吧/论坛中。安全意识低的用户点击后,经过服务器或者浏览器解析后,跳到恶意的网站中。

恶意链接需要进行伪装,经常的做法是熟悉的链接后面加上一个恶意的网址,这样才迷惑用户。

诸如伪装成像如下的网址,你是否能够识别出来是恶意网址呢?

http://gate.baidu.com/index?act=go&url=http://t.cn/RVTatrd http://qt.qq.com/safecheck.html?flag=1&url=http://t.cn/RVTatrd http://tieba.baidu.com/f/user/passport?jumpUrl=http://t.cn/RVTatrd

2.实现方式:

Header头跳转Javascript跳转META标签跳转

这里我们举个Header头跳转实现方式:

<?php $url=$_GET['jumpto']; header("Location: $url"); ?> http://www.wooyun.org/login.php?jumpto=http://www.evil.com

这里用户会认为www.wooyun.org都是可信的,但是点击上述链接将导致用户最终访问www.evil.com这个恶意网址。

3.如何防御

1)referer的限制

如果确定传递URL参数进入的来源,我们可以通过该方式实现安全限制,保证该URL的有效性,避免恶意用户自己生成跳转链接

2)加入有效性验证Token

我们保证所有生成的链接都是来自于我们可信域的,通过在生成的链接里加入用户不可控的Token对生成的链接进行校验,可以避免用户生成自己的恶意链接从而被利用,但是如果功能本身要求比较开放,可能导致有一定的限制。

五、SQL注入

SQL注入是一种常见的Web安全漏洞,攻击者利用这个漏洞,可以访问或修改数据,或者利用潜在的数据库漏洞进行攻击。

1.SQL注入的原理

我们先举一个万能钥匙的例子来说明其原理:

<form action="/login" method="POST"> <p>Username: <input type="text" name="username" /></p> <p>Password: <input type="password" name="password" /></p> <p><input type="submit" value="登陆" /></p> </form>

后端的 SQL 语句可能是如下这样的:

let querySQL = ` SELECT * FROM user WHERE username='${username}' AND psw='${password}' `; // 接下来就是执行 sql 语句...

这是我们经常见到的登录页面,但如果有一个恶意攻击者输入的用户名是 admin' --,密码随意输入,就可以直接登入系统了。why! ----这就是SQL注入

我们之前预想的SQL 语句是:

SELECT * FROM user WHERE username='admin' AND psw='password'

但是恶意攻击者用奇怪用户名将你的 SQL 语句变成了如下形式:

SELECT * FROM user WHERE username='admin' --' AND psw='xxxx'

在 SQL 中,' --是闭合和注释的意思,-是注释后面的内容的意思,所以查询语句就变成了:

SELECT * FROM user WHERE username='admin'

所谓的万能密码,本质上就是SQL注入的一种利用方式。

一次SQL注入的过程包括以下几个过程:

获取用户请求参数拼接到代码当中SQL语句按照我们构造参数的语义执行成功

SQL注入的必备条件:

1.可以控制输入的数据2.服务器要执行的代码拼接了控制的数据。

我们会发现SQL注入流程中与正常请求服务器类似,只是黑客控制了数据,构造了SQL查询,而正常的请求不会SQL查询这一步,SQL注入的本质:数据和代码未分离,即数据当做了代码来执行。

2.危害

获取数据库信息管理员后台用户名和密码获取其他数据库敏感信息:用户名、密码、手机号码、身份证、银行卡信息……整个数据库:脱裤获取服务器权限植入Webshell,获取服务器后门读取服务器敏感文件

3.如何防御

严格限制Web应用的数据库的操作权限,给此用户提供仅仅能够满足其工作的最低权限,从而最大限度的减少注入攻击对数据库的危害后端代码检查输入的数据是否符合预期,严格限制变量的类型,例如使用正则表达式进行一些匹配处理。对进入数据库的特殊字符(',",,<,>,&,*,; 等)进行转义处理,或编码转换。基本上所有的后端语言都有对字符串进行转义处理的方法,比如 lodash 的 lodash._escapehtmlchar 库。所有的查询语句建议使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中,即不要直接拼接 SQL 语句。例如 Node.js 中的 mysqljs 库的 query 方法中的 ? 占位参数。六、OS命令注入攻击

OS命令注入和SQL注入差不多,只不过SQL注入是针对数据库的,而OS命令注入是针对操作系统的。OS命令注入攻击指通过Web应用,执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。倘若调用Shell时存在疏漏,就可以执行插入的非法命令。

命令注入攻击可以向Shell发送命令,让Windows或Linux操作系统的命令行启动程序。也就是说,通过命令注入攻击可执行操作系统上安装着的各种程序。

1.原理

黑客构造命令提交给web应用程序,web应用程序提取黑客构造的命令,拼接到被执行的命令中,因黑客注入的命令打破了原有命令结构,导致web应用执行了额外的命令,最后web应用程序将执行的结果输出到响应页面中。

我们通过一个例子来说明其原理,假如需要实现一个需求:用户提交一些内容到服务器,然后在服务器执行一些系统命令去返回一个结果给用户

// 以 Node.js 为例,假如在接口中需要从 github 下载用户指定的 repo const exec = require('mz/child_process').exec; let params = {/* 用户输入的参数 */}; exec(`git clone ${params.repo} /some/path`);

如果 params.repo 传入的是 https://github.com/admin/admin.github.io.git 确实能从指定的 git repo 上下载到想要的代码。但是如果 params.repo 传入的是 https://github.com/xx/xx.git && rm -rf /* && 恰好你的服务是用 root 权限起的就糟糕了。

2.如何防御

后端对前端提交内容进行规则限制(比如正则表达式)。在调用系统命令前对所有传入参数进行命令行参数转义过滤。不要直接拼接命令语句,借助一些工具做拼接、转义预处理,例如 Node.js 的 shell-escape npm包

以上就是常见的web安全漏洞及防御方法!

本文转载自互联网,如有侵权,联系删除