node中后台安全的防护，你会的还只有初级工程师的技术吗_采集过 appnode 防护

有的攻击还需要硬件和服务来支持(需要OP支持)，如 DDOS**

针对于上面的这些问题，我们目前只需要做的就是在node层面上即现在的server端处理上来完成所需要做的防护，即防sql注入与xss攻击。对于sql注入与xss攻击具体形式与预防措施如下：

sql注入：

攻击方式： 输入一个sql片段，最终拼接成一段攻击代码

预防措施：使用mysql中的escape函数处理输入内容即可

例如： 在输入用户名时，使用’ – 又或者是加上; delete from user – 加上这种sql片段注入的方式使用的方式是在mysql.js的文件中，导出escape: mysql.escape然后在controller的文件夹中涉及变量名的地方都加上escape，例如：

username = escape(username)  然后再去掉单引号即可

xss攻击：

攻击方式：在页面展示内容中参杂js代码，以获取网页信息

预防措施：转换生成js的特殊字符

在node中的处理方式  安装xssAPI来预防xss攻击  npm install xss --save

代码部分   首先使用 const xss = requie(‘xss’);

然后调用即可： const title = xss(blogData.title);

const content = xss(blogData.content);

常见的攻击手段：

上面所介绍的就是关于对于sql注入以及xss攻击的具体攻击形式与在node中如何去防护，在node中封装了一个API一个是escape函数来处理sql注入，其原理就是针对于不同的sql语句对其进行转义然后再去解释运行，最后达到防止sql注入的目的。另外一个预防xss攻击的方式就是使用第三方插件即xss，然后将数据先放入xss()中，然后再去使用，达到预防xss攻击的目的。

还需要做的一个防护就是进行加密处理，不得不去面临的一个问题就是当我们遇到数据库中的用户信息等被攻破后，不能直接将数据暴露出来，因此需要我们去做的就是使用加密手段，对有关于用户的信息进行加密具体的方式如下：

密码加密：

当数据库被攻破时，最不应该泄露的就是用户信息

攻击的方式：获取用户名和密码，再去尝试登录其他系统

预防措施：将密码加密，即使拿到密码也不知道明文

具体的实现方法：

const crypto = require(‘crypto’);

//密匙  用于加密密码  不能暴露否则很容易就会被黑客攻破信息

const SECRET_KEY = ‘WJhou1@@_59454#’;

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

学习路线：

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**
[外链图片转存中…(img-ceVubHcd-1712973583026)]