SQL 注入 很多 web 开发者没有注意到 SQL 查询是可以被篡改的，因而把 SQL 查询当作可信任的命令。殊不知道，SQL 查询可以绕开访问控制，从而绕过身份验证和权限检查。更有甚者，有可能通过 SQL 查询去运行主机操作系统级的命令。 直接 SQL 命令注入就是攻击者常用的一种创建或修改已有 SQL 语句的技术，从而达到取得隐藏数据，或覆盖关键的值，甚至执行数据库主机操作系统命令的目的。这是通过应用程序取得用户输入并与静态参数组合成 SQL 查询来实现的。下面将会给出一些真实 ...

设计数据库 第一步一般都是创建数据库，除非是使用第三方的数据库服务。当创建一个数据库的时候，会指定一个所有者来执行和新建语句。通常，只有所有者（或超级用户）才有权对数据库中的对象进行任意操作。如果想让其他用户使用，就必须赋予他们权限。 应用程序永远不要使用数据库所有者或超级用户帐号来连接数据库，因为这些帐号可以执行任意的操作，比如说修改数据库结构（例如删除一个表）或者清空整个数据库的内容。 应该为程序的每个方面创建不同的数据库帐号，并赋予对数据库对象的极有限的权限。仅分配给能完 ...

用户上传文件的安全风险 允许用户上传文件有哪些安全风险？简单列举一些所能想到的risk: 空间的占用，如果文件服务器空间有限制，允许用户无限制的上传垃圾文件或许会塞满文件服务器，导致其他用户再也不能上传，需要扩展服务器容量。这或许对于现在的容量来说不是大风险。 文件的访问。如果上传的文件是可执行的，这就给服务器带来安全漏洞。所以在文件执行权限上进行管理，以及在文件类型上应加以控制。   第二类风险才是真正的安全隐患，而且其方式可能会多种多样，可以进 ...

随着web应用的流行，人们越来越关心网络安全。学习网络安全，我们必须找到组织（The Open Web Application Security Project (OWASP)）。 本文是学习XSS中收集并整理的资料，不断更新中。 什么是XSS？ XSS是Cross Site Script的简写，即常说的跨站脚本攻击。 XSS攻击场景 使用 XSS盗取Cookie 使用XSS创建覆盖 使用XSS产生HTTP请求 以交互方式尝试基于DOM的XSS 绕过 ...

最近发现每天总有IP段从121.42.0.57到121.42.0.73的机器来扫描站点的问题，百度了下这些IP，发现都属于马云的阿里巴巴，问了些大侠说是这些IP来自阿里云盾。这个云盾是用来做什么的？ 如图： 阿里云论坛里有人解释“云盾端口扫描的ip，是对网站的一种安全检测，目的是告知用户是否网站有安全漏洞。” 再查询云盾官方解释：“云盾IP为什么频繁扫描我的主机”的官方解释： 问题：云盾IP为什么频繁扫描我的主机 ...