精选优质文档-倾情为你奉上网站常见高中危漏洞重点提示漏洞名称漏洞级别描述修复建议跨站脚本XSS漏洞高网站部分页面对用户可控参数未做过滤限制常用的修补方式为在服务端禁止或者转义用户提交数据中的HTML代码。推荐对站内所有用户提交的数据使用白名单限制,将用户提交的数据规定在限定的字符。SQL注入漏洞高SQL注入漏洞是由于网站开发时对用户提交查询参数缺少限制一般来讲,可通过以下2个方面实现:a)数据查询参数化:SQL注入是由攻击者篡改查询数据以修改查询逻辑导致的,因此防止SQL注入攻击最好的方法是将查询逻辑与查询数据分离,可防止执行从用户输入插入的命令。b)验证用户输入的类型和格式:推荐使用白名单制将用户输入的内容定义为相关字段仅接受特定账号或特定账户类型,或其他字段仅接受整数或英文字母,可有效防止SQL注入。也有程序员习惯使用黑名单制,将已知的错误数据(如半角单引号、大于号、小于号、and、select、union、delete、drop、or等等)转义或过滤,但由于无法提前知道错误数据的所有形式,所以更推荐使用白
