修復web漏洞的方法
一、SQL注入漏洞
1.對進入數據庫的特殊字符進行編碼轉換或轉義處理;
2.確認每種數據的類型,比如數字型的數據就必須是數字,數據庫中的存儲字段必須對應為int型;
3.嚴格規定數據長度,防止比較長的SQL注入語句無法正確執行;
4.嚴格限制用戶的數據庫操作權限,為用戶提供僅能滿足其工作的權限,最大限度的減少注入攻擊對數據庫的危害;
二、文件上傳漏洞
1.對上傳的文件進行重命名,并隱藏上傳文件的路徑;
2.對上傳文件格式進行嚴格校驗,防止上傳惡意腳本文件,并嚴格限制上傳的文件路徑;
3.將文件擴展名添加到服務端白名單校驗,并對文件內容進行服務端校驗;
4.嚴格限制和校驗上傳的文件,禁止上傳惡意代碼的文件,并限制相關上傳文件目錄的執行權限,防止木馬執行;
三、暴力破解漏洞
1.設置用戶登錄次數的閾值,當用戶登錄的次數超過閾值后,對帳號進行鎖定;
2.在登錄過程中增加人機驗證機制,且規定驗證碼必須在服務器端進行校驗;
