Sql注入
原理:利用网页程序没有对传参进行过滤,执行不允许的sql语句获取重要数据 百度百科 维基百科
防御
后端程序对请求参数进行严格过滤,使用框架的查询构造器和ORM操作Sql,禁止直接用代码拼接sql语句
SQL注入详解
XSS(Cross site scripting 跨站脚本攻击)
原理 前端运行了用户输入的恶意js脚本
防御
php函数htmlspecialchars转义html标签
过滤敏感js标签 ezyang/htmlpurifier,
现代前端框架会自动处理xss问题
CSRF(Cross-site request forgery 跨站请求伪造)
原理 MDN文档说明
防御
SSRF(Server-Side Request Forgery 服务器端请求伪造)
原理
防御
XXE(XML外部实体注入)
原理
防御
参考