郑州名气大的软件测试培训线下班，认准郑州云和数据,国级全民数字素养与技能培训基地，“河南码农(数字技能)”省级人力资源品牌培训示范基地、教*育部“产学合作·协同育人”项目单位，省级产教融合型企业，河南省教育厅“双师型”教师培养基地，郑州市高技能人才培养示范基地，郑州市电子信息公共实训基地以及郑州大学、河南大学、河南财经政法大学等数十家高校的实习实训基地。

　　云和it学校课程包含：HTML5、PHP、JAVA、大数据、Web前端、云计算、Python人工智能、UI/UE、跨境电商，淘宝美工、网络安全、VR等，采用小班制授课,双师资教学,实时更新的课程体系,大量实践项目,学员毕业即拥有1-2年工作经验,贴近企业需求,学员就业率和平均薪资有保障.欢迎来电咨询或者留言我们.

　　下面云和老师给同学们分享：什么是sql 注入攻击？什么是跨站脚本？

　　SQL 注入攻击是注入攻击较常见的形式（此外还有 OS 注入攻击（Struts 2 的高危漏洞就是通过 OGNL 实施 OS 注入攻击导致的）），当服务器使用请求参数构造 SQL 语句时，恶意的 SQL 被嵌入到 SQL 中交给数据库执行。SQL 注入攻击需要攻击者对数据库结构有所了解才能进行，攻击者想要获得表结构有多种方式：

　　（1）如果使用开源系统搭建网站，数据库结构也是公开的（目前有很多现成的系统可以直接搭建论坛，电商网站，虽然方便快捷但是风险是必须要认真评估的）；

　　（2）错误回显（如果将服务器的错误信息直接显示在页面上，攻击者可以通过非法参数引发页面错误从而通过错误信息了解数据库结构，Web 应用应当设置友好的错误页，一方面符合较小惊讶原则，一方面屏蔽掉可能给系统带来危险的错误回显信息）；

　　（3）盲注。防范 SQL 注入攻击也可以采用消毒的方式，通过正则表达式对请求参数进行验证，此外，参数绑定也是很好的手段，这样恶意的 SQL 会被当做 SQL 的参数而不是命令被执行，JDBC 中的 PreparedStatement 是支持参数绑定的语句对象，从性能和安全性上都明显优于 Statement。

　　XSS（Cross Site Script，跨站脚本攻击）是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式。跨站脚本攻击分有两种形式：

　　反射型攻击（诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标，目前有很多攻击者利用论坛、微博发布含有恶意脚本的 URL 就属于这种方式）

　　持久型攻击（将恶意脚本提交到被攻击网站的数据库中，用户浏览网页时，恶意脚本从数据库中被加载到页面执行，QQ 邮箱的早期版本就曾经被利用作为持久型跨站脚本攻击的平台）。

　　CSRF 攻击（Cross Site Request Forgery，跨站请求伪造）是攻击者通过跨站请求，以合法的用户身份进行非法操作（如转账或发帖等）。CSRF 的原理是利用浏览器的 Cookie 或服务器的 Session，盗取用户身份。

　　防范 CSRF 的主要手段是识别请求者的身份，主要有以下几种方式：

　　（1）在表单中添加令牌（token）；

　　（2）验证码；

　　（3）检查请求头中的 Referer（前面提到防图片盗链接也是用的这种方式）。

　　令牌和验证都具有一次消费性的特征，因此在原理上一致的，但是验证码是一种糟糕的用户体验，不是必要的情况下不要轻易使用验证码，目前很多网站的做法是如果在短时间内多次提交一个表单未获得成功后才要求提供验证码，这样会获得较好的用户体验。