对于xss和sql注入这样的漏洞有很多工具是可以检测的。
也是最常见的web安全问题。
其实这样的问题是很好避免的 只要在应用架构上 统一数据的吞吐,在吞吐的过程中做好数据的校验就ok了
最简单的php的 htmlspecialchars 就可以把一些危险字符进行转译
就可以大大减低xss和sql注入的可能性
也可以结合其他的函数进行更全面的过滤
http://blog.csdn.net/u014017080/article/details/53064300
其实最主要的是要做到数据的统一管理
在应用架构上保持统一的数据出口和入口是很必要的。对于GET POST的数据统一过滤之后在渲染进应用
总结:
1.入口过滤危险字符 2.出口控制危险输出
eg: 就像<script>决定的危险字符在插入数据的时候 直接替换成空。其余的像 “ ‘ / 等等 统一转译 \" \' \/ 吐出数据的时候统一转换成 “ ‘ / 或者 直接转换成html源码 < :< >:>
=================下面是一个美团的例子===========