PHP面试：常见Web攻击方式及防御方案

xss（cross site script）

跨站脚本攻击，指攻击者在网页中嵌入恶意脚本程序。

防御

客户端及服务端用户的输入数据进行双重验证将输入的数据进行转义处理，如将用户数据转换成html实体。

sql注入（sql injection）

将sql命令伪装成正常的http请求参数，传递到服务器端，服务器执行sql命令造成对数据库进行攻击

防御

数据库操作进行预处理首先使用占位符定义使用的 sql 代码，之后再将每个参数传递给查询语句使用语言或框架自带的存储程序，而不是自己直接操纵数据库

csrf(cross site request fo孙思邈著作rgery)

跨站请求伪造，指通过伪装成受信任用户进行访问，比如我访问了a网站，然后cookie存在了浏览器，然后我又政协章程访问了一个流氓网站，不小心点了流氓网站一个链接（向a发送请求），这个时候流氓网站利用了我的身高考少数民族加分份对a进行了访问，成功通过了a网站的用户验证。

防御

之所以被攻击是因为攻击者利用了存储在浏览器用于用户认证的cookie，那么如果我们不用cookie来验证就可以预防了。我们可以采用token（不存储于浏览器）认证。通过re感恩老师的古诗ferer识别，http referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上referer，告诉服务器我是女人做生意从哪个页面链接过来的，服务器基此可以获得一些信息用于处理。

ddos

分布式拒绝服务攻击（distributed denial of rvice），简单说就是发送大量请求是使服务器瘫痪。

防御

增加带宽。但是攻击者用各地的电脑进行攻击，他的带宽不会耗费很多钱，但对于服务器来说，带宽非常昂贵云服务提供商有自己的一套完整ddos解决方案，并且能提供丰富的带宽资源