常见的四大网站安全问题

尽管你的网站用了很多高大上的技术，但是如果网站的安全性不足，无法保护网站的数据，甚至成为恶意程序的寄生温床，那前面堆砌了再多的美好也都成了枉然。

SQL注入

在众多安全性漏洞中，SQL注入绝对是最严重但也是最好处理的一种安全漏洞。在数据库执行查询句时，如果将恶意用户给出的参数直接拼接在查询句上，就有可能发生。

举个例子，假设原本某网站登录验证的查询句长这样：

而恶意用户输入的参数为：

由于代码中是直接将参数与查询句做字串做的拼接，所以 SQL 就成为了这样：

这样一来，账号密码就形同虚设，甚至可以拿到整个数据库的结构(SELECT *FROMsys.tables)、任意修改、查询数据，整个网站的数据就全部泄露了。

不过解决方法也很简单，只要通过参数化查询来避免直接将参数与查询句拼接，并进行适当的输入检查、插入转义字符、严格设定程序权限，就能够有效避免 SQL注入了。

XSS

XSS（跨站攻击）也叫JavaScript注入，是现代网站最频繁出现的问题之一，它指的是网站被恶意用户植入了其他代码，通常发生在网站将用户输入的内容直接放到网站内容时。例如论坛、留言板等可以输入任意文字的网站，恶意用户如果写入一小段