网站安全攻击

网站安全攻击

1. SQL注入：用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。

2. XSS攻击：跨站点脚本攻击，由用户输入一些数据到你的网站，其中包括客户端脚本(通常JavaScript)。如果你没有过滤就输出数据到另一个web页面，这个脚本将被执行。

防止：为了防止XSS攻击，使用PHP的htmlentities()函数过滤再输出到浏览器。只允许用户输入我们期望的数据。

3. CSRF：跨站点请求伪造，是指一个页面发出的请求，看起来就像是网站的信任用户，但是是伪造的。

防止：一般来说，确保用户来自你的表单，并且匹配每一个你发送出去的表单。唯一token并进行验证。

使用验证码，只要是涉及到数据交互就先进行验证码验证.

验证HTTP Referer字段，该字段记录了此次HTTP请求的来源地址，最常见的应用是图片防盗链。

4. DDOS攻击：

DOS攻击(Denial of Service 拒绝服务攻击)：凡是利用网络安全防护措施不足导致用户不能继续使用正常服务的攻击手段，都可以被称为是拒绝服务攻击，其目的是通过消耗网络宽带或系统资源，使网络或计算机不能提供正常的服务。

DDOS(Distributed Denial of Service ，分布式拒绝服务)：凡是攻击者通过控制在网络上的傀儡主机，同时发动他们向目标主机进行拒绝服务攻击的方式称为分布式拒绝服务攻击。

防止：设置复杂口令，减低系统被控制的可能性，关闭不必要的端口与服务经常检测网络的脆弱性，发现问题及时修复。

5. 时序攻击：在密码学中,时序攻击是一种侧信道攻击,攻击者试图经过分析加密算法的时间执行来推导出密码。每个逻辑运算在计算机须要时间来执行,根据输入不一样,精确测量执行时间,根据执行时间反推出密码。

防止：php中为了应对这种状况,能够使用hash_equals函数。

摘抄一段php手册上的信息:

hash_equals ( string $known_string , string $user_string ) : bool

比较两个字符串，不管它们是否相等，本函数的时间消耗是恒定的