文章详情|常见的安全漏洞

常见的安全漏洞 所属分类 architecture 浏览量 841

SQL注入
跨站脚本攻击（XSS）
跨站请求伪造（CSRF）
越权漏洞



SQL注入
避免sql拼接 ，使用预编译


XSS Cross Site Scripting


<script> alert("hello"); </script>

过滤危险的html标签


CSRF Cross—Site Request Forgery
referer判断
每一个请求分配一个 token 


越权漏洞
http://www.codefun007.com/order/10001

http://www.codefun007.com/order/10002

修改订单号 ，查看订单信息

权限校验  数据校验

其他
支付金额篡改 
文件上传 


外部输入数据，做好校验
前端页面避免显示原始异常信息

费曼学习法:输出是最好的学习

jvm可视化分析工具

中文分词返回结果为空问题记录

分布式事务六种解决方案

elasticsearch禁用自动创建索引和类型

Elasticsearch 搜索分词器过滤器