如何做好网站安全防护？防止暴力、sql注入、xss等

gzhshan · 发表于 2022-4-21 10:04

如题，如何做好网站安全防护？编程开发中最大限度防止暴力、sql注入、xss等

Thefirst1 · 发表于 2022-4-21 12:58

这话题太大了，流量层面上WAF IPS，主机层面上防护软件，网站开发层面注意安全逻辑，日常还得做渗透测试

茫茫狐 · 发表于 2022-4-21 13:04

sql注入的话做好表单的字段过滤，还有对单引号和双"-"进行转换等，不要使用sql拼接作为查询

CDCBB · 发表于 2022-4-21 13:51

前面加一个waf吧

Pyth1n · 发表于 2022-4-21 14:23

就你提的这三个来说
1.暴力 IP请求限制验证码
2.sql注入现在很多框架都已经解决了，预编译之类的
3.xss对用户提交、网站的输出进行检查

总的就是一条：永远不要相信用户的任何输入

Dlan · 发表于 2022-4-21 15:15

花钱吧，省事

3404071 · 发表于 2022-4-21 15:19

备案就行，就算你的网站全是漏洞，后台密码123456，只要有备案，但是被黑了，报警抓到就是几万经济损失。

小蓝人 · 发表于 2022-4-21 15:31

做好相关的安全设置。很广，说不全。

moking · 发表于 2022-4-21 17:35

3404071 发表于 2022-4-21 15:19
备案就行，就算你的网站全是漏洞，后台密码123456，只要有备案，但是被黑了，报警抓到就是几万经济损失。

请问损失几万是什么意思，网站被罚？

3404071 · 发表于 2022-4-21 17:41

moking 发表于 2022-4-21 17:35
请问损失几万是什么意思，网站被罚？

《中华人民共和国刑法》第二百八十六条【破坏计算机信息系统罪】违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

别人黑你的网站，抓住就是5年，还得赔偿你损失。

帐号		自动登录	找回密码
密码			注册[Register]

[讨论] 如何做好网站安全防护？防止暴力、sql注入、xss等