网络攻击（SQL攻击、XSS、CSRF、DDos）_网络攻击xss do

1)   SQL注入攻击(SQLInjection)

攻击方法:

攻击者在HTTP请求中注入恶意SQL命令，服务器用请求参数构造数据库SQL命令时，恶意SQL被一起构造，并在数据库中执行。

防范方法:

1.      检查变量数据类型和格式，过滤特殊语句

和防XSS攻击一样，请求参数消毒是一种比较简单粗暴又有效的手段。通过正则匹配，过滤请求数据中可能注入的SQL，如：drop table 等。

2.      参数绑定

使用预编译手段，绑定参数是最好的防SQL注入的方法。目前许多数据访问层框架，如Hibernate, TP, yii 等，都实现SQL预编译和参数绑定，攻击者的恶意SQL会被当做SQL测参数，而不是SQL命令被执行。

注：PDO解释

PHP 数据对象 （PDO） 扩展为PHP访问数据库定义了一个轻量级的一致接口。PDO 提供了一个数据访问抽象层，这意味着，不管使用哪种数据库，都可以用相同的函数（方法）来查询和获取数据。

pdo的处理方法是在prepare函数调用时，将预处理好的sql模板（包含占位符）通过mysql协议传递给mysqlserver，告诉mysql server模板的结构以及语义。当调用execute时，将两个参数传递给mysql server。由mysql server完成变量的转移处理。将sql模板和变量分两次传递，即解决了sql注入问题。

$pdo = new PDO('mysql:host=localhost;dbname=test', $user, $pass);

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");//预处理

$stmt->bindParam(1, $name);//参数绑定

$stmt->bindParam(2, $value);

// 插入一行

$name = 'one';

$value = 1;

$stmt->execute();

2)   跨网站脚本攻击(CrossSite Scripting, XSS)<