网站面临的安全威胁很多,SQL注入、XSS跨站脚本、CSRF等攻击每天都在发生。做好基础防护,避免网站被黑。
SQL注入是最常见的攻击方式。对用户输入的内容要做过滤和转义,永远不要把用户输入直接拼接到SQL语句里。
XSS攻击靠过滤输入和转义输出来防护。用户输入的内容要过滤危险字符,输出到页面时要转义HTML实体。
文件上传要严格限制。网站如果允许上传文件,要限制文件类型、检查文件内容、放到web目录之外,防止上传 webshell。
管理后台要加强防护。密码要足够复杂,设置IP白名单限制访问,启用双因素认证。
保持软件更新。服务器系统、Web服务器、程序框架的漏洞都会被利用,要及时打补丁更新。