CSRF攻擊 ：跨站請求偽造攻擊 ，CSRF全名是Cross-site request forgery，是一種對網(wǎng)站的惡意利用，CSRF比XSS更具危險性

攻擊者一般會使用吸引人的圖片去引導(dǎo)用戶點擊進去他設(shè)定好的全套，然后你剛登錄的A網(wǎng)站沒有關(guān)閉，這時候攻擊者會利用JS事件去模擬用戶請求A網(wǎng)站信息，從而就得到了目的。

預(yù)防措施：為表單提交都加上自己定義好的token然后加密好，后臺也一樣的規(guī)則然后進行對比。

XSS攻擊：跨站腳本攻擊， XSS攻擊是Web攻擊中最常見的攻擊方法之一，它是通過對網(wǎng)頁注入可執(zhí)行代碼且成功地被瀏覽器執(zhí)行，達到攻擊的目的，形成了一次有效XSS攻擊，一旦攻擊成功，它可以獲取用戶的聯(lián)系人列表，然后向聯(lián)系人發(fā)送虛假詐騙信息，可以刪除用戶的日志等等，有時候還和其他攻擊方式同時實施比如SQL注入攻擊服務(wù)器和數(shù)據(jù)庫、Click劫持、相對鏈接劫持等實施釣魚，它帶來的危害是巨大的，是web安全的頭號大敵。

攻擊者一般通過script標(biāo)簽對網(wǎng)站注入一些可執(zhí)行的代碼，這樣就可以很輕松的獲取到用戶的一些信息。預(yù)防措施：strip_tags() 函數(shù),過濾掉輸入、輸出里面的惡意標(biāo)簽和使用htmlentities()函數(shù)把標(biāo)簽字符串轉(zhuǎn)換成html實體。

可以利用下面的這些函數(shù)對出現(xiàn)的xss漏洞的參數(shù)進行過濾；

1. htmlspecialchars()函數(shù)，用于轉(zhuǎn)義處理在頁面上顯示的文本；

2. htmlentities()函數(shù)，用于轉(zhuǎn)義處理在頁面上顯示的文本；

3. strip_tags()函數(shù)，過濾掉輸入，輸出里面的標(biāo)簽；

4. header()函數(shù)，使用header("Content-type:application/json");

5. urlencode()函數(shù)，用于輸出處理字符型參數(shù)帶入頁面鏈接中。

6. inval()函數(shù)用于處理數(shù)值型參數(shù)輸出頁面中。

SQL注入：就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令。

上圖因為沒有做預(yù)防措施所以導(dǎo)致直接登錄成功！！ 

總結(jié)：

1、對用戶輸入的內(nèi)容要時刻保持警惕。

2、只有客戶端的驗證等于沒有驗證。

3、永遠(yuǎn)不要把服務(wù)器錯誤信息暴露給用戶

預(yù)防措施：把一些sql語句進行過濾，比如delete update insert select * 或者使用PDO占位符進行轉(zhuǎn)義。

DDOS流量攻擊：

攻擊者通過漏洞往網(wǎng)頁進行病毒木馬的注入，一旦中了招，就成功成為肉雞。

最常見的攻擊其中有一種SYN攻擊，它利用tcp協(xié)議往服務(wù)器發(fā)送大量的半連接請求，當(dāng)半連接隊列達到最大值的時候，正常的數(shù)據(jù)包會被服務(wù)器丟棄，最后你網(wǎng)站可能一分鐘不到就不不開了。

預(yù)防措施：

1. 正確設(shè)置防火墻

2. 禁止對主機的非開放服務(wù)的訪問

3. 限制特定IP地址的訪問

4. 啟用防火墻的防DDoS的屬性

5. 嚴(yán)格限制對外開放的服務(wù)器的向外訪問

6. 運行端口映射程序禍端口掃描程序，要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。過濾沒必要的服務(wù)和端口、定期掃描漏洞進行處理、利用路由器進行防護（路由器死掉后重啟一下即可不會影響服務(wù)器）或者網(wǎng)路沒有癱瘓的情況下，可以查一下攻擊來源，然后臨時把這些IP過濾一下

本文鏈接：http://www.hkass.cn/article/186.html