修复web漏洞的方法
一、SQL注入漏洞
1.对进入数据库的特殊字符进行编码转换或转义处理;
2.确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型;
3.严格规定数据长度,防止比较长的SQL注入语句无法正确执行;
4.严格限制用户的数据库操作权限,为用户提供仅能满足其工作的权限,最大限度的减少注入攻击对数据库的危害;
二、文件上传漏洞
1.对上传的文件进行重命名,并隐藏上传文件的路径;
2.对上传文件格式进行严格校验,防止上传恶意脚本文件,并严格限制上传的文件路径;
3.将文件扩展名添加到服务端白名单校验,并对文件内容进行服务端校验;
4.严格限制和校验上传的文件,禁止上传恶意代码的文件,并限制相关上传文件目录的执行权限,防止木马执行;
三、暴力破解漏洞
1.设置用户登录次数的阈值,当用户登录的次数超过阈值后,对帐号进行锁定;
2.在登录过程中增加人机验证机制,且规定验证码必须在服务器端进行校验;
