慕课网《强力django+杀手级xadmin 打造上线标准的在线教育平台》 学习笔记
本章主要内容:
介绍最常见的sql注入攻击、 xss攻击和csrf攻击的原理以及防护
sql注入攻击
主要原因 程序员的水平参差不齐,没有对用户的输入进行验证,使用户输入含有sql语句 django的orm已经对sql注入进行过防护 ,将用户输入进行了转义
登陆时的sql注入
查询语句
sql_select = "
select * from users_userprofile where email = '{0}' and password = '{1}'".format(username, password)
漏洞 用户名输入 ’ OR 1=1 # 密码随意输
最后的sql语句永远为真
XSS 攻击与防护
xss攻击流程
防护
csrf攻击与防护
CSRF攻击原理