如何避免XSS攻击和SQL注入

需要对所有的异常情况进行捕获，切记接口直接返回异常信息，因为有些异常信息中包含了 sql 信息，包括：库名，表名，字段名等。攻击者拿着这些信息，就能通过 sql 注入随心所欲地攻击你的数据库了。

需要在服务器端进行验证，对每个php脚本验证传递到的数据，防止XSS攻击和SQL注入。

避免SQL注入漏洞使用预编译语句 使用安全的存储过程 检查输入数据的数据类型 从数据库自身的角度考虑，应该使用最小权限原则，不可使用root或dbowner的身份连接数据库。

关于防止XSS注入：尽量使用框架。通过对自己的网页进行xss保留型攻击的测试，尽管自己没有对某些输入框进入转义，但还是无法进行xss注入，因为框架会自动将某些特殊字符转义。（我使用的spring+struts+hibernate框架）。

最有效的方法是使用参数化查询就能避免sql注入了，防止跨站的话可以使用微软白名单。或者关键字黑名单。

XSS过滤器

1、背景：过滤xss攻击，同时将过滤后的日志输出到指定文件。

2、做后端的同学都知道，XSS过滤器，防sql注入过滤器等是常用的 。关于什么是XSS攻击，网上的说法很多，自己百度一下吧。我们只需要加入一个xss过滤器就可以了。

3、scripting， XSS)防护阻止了跨站发送的请求。点击 IE8 的“工具”-“Internet 选项”，进入“安全”选项卡，打开“Internet”下方的“自定义级别”，在“安全设置”对话框中找到“启用 XSS 筛选器”，改为“禁用”即可。

网站受到了XSS攻击,有什么办法?

防御xss攻击需要重点掌握以下原则：在将不可信数据插入到HTML标签之间时，对这些数据进行HTML Entity编码。在将不可信数据插入到HTML属性里时，对这些数据进行HTML属性编码。

xss漏洞防御方法有输入过滤、纯前端渲染、转义HTML和标签和属性基于白名单过滤。输入过滤：有时候需要多次过滤，例如script过滤掉后还是，需要注意多个过滤器的先后次序。

XSS指利用网站漏洞从用户那里恶意盗取信息。xss的防护措施：下列规则旨在防止所有发生在应用程序的XSS攻击，虽然这些规则不允许任意向HTML文档放入不可信数据，不过基本上也涵盖了绝大多数常见的情况。

XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF更具危险性。CSRF攻击的危害 主要的危害来自于，攻击者盗用了用户身份，发送恶意请求。

找到并确认攻击源，并将黑客挂马的网址和被篡改的黑页面截图保存下来，还有黑客可能留下的个人IP或者代理IP地址。