身在網際網路的時候，web在給我們帶來便利的同時，有些人也在盯著這些便利，因此出現了攻擊網站的現象。所以我們在開發的時候，要注意這些容易被攻擊的地方，以及做好防禦的措施，下面將介紹一些這些常見的攻擊手段以及解決辦法。

       1.SQL注入

            攻擊方式

           大多數人擁有字母數字式密碼，或者有安全意識的人，擁有附帶其他鍵碟符號的字母數字式密碼。由於 這種想法，開發人員可能允許輸入任何字元作為密碼。這通常是沒問題的，除非他們忘記清潔或檢查輸入資料。這種情況比應該的要發生的頻繁得多。使用 SQL 資料庫的密碼系統（在許多網站上非常普遍的場景）可能執行這樣的查詢：

           SELECT * FROM users WHERE 'username' = '$USER' AND 'password'='$PASS'; 

          $USER 和 $PASS 會用使用者提供的使用者名稱和密碼來代替。那麼如果使用者輸入‘bob’和‘1234’，那麼結果的查詢是：
           SELECT * FROM users WHERE 'username' = 'bob' AND 'password' = '1234';

          而來自資料庫的返回值會是所有用 bob 作為使用者名稱且用 1234 作為密碼的資料元組。如果黑客輸入 admin 和 <<’hi’ 或 1=1>>–，那麼查詢是：
          SELECT * FROM users WHERE 'username' = 'admin' and `password` = 'hi' OR 1=1--'

          注意使用者輸入的引號如何與原始查詢中的第三個引號匹配。資料庫現在會返回使用者名稱為 admin 的所有元組，並且會取消對密碼的檢查，因為 ‘password’ = ‘hi’ OR 1=1 命令資料庫尋找密碼是 hi 的元組或 1=1 的元組，而由於 1 總是 1，所以每行都是候選。– 是 SQL 註釋標誌，取消查詢中原始的其他引號，並且還將取消任何額外的檢查，因此如果有額外的憑證（也就是，keyfob 或 captcha）也會被忽略。現在黑客可以以管理員的身份進入系統並且不用不得不給出合法的密碼。通過利用越來越複雜的查詢，黑客可以變更、新增，或查詢資料。對於資料庫，這令黑客具有同應用程式相同的特權。

          解決方案

          a.前端頁面需要校驗使用者的輸入資料（限制使用者輸入的型別、範圍、格式、長度），不能只靠後端去校驗使用者資料。一來可以提高後端處理的效率，二來可以提高後端資料的安全。
          b.後端不要動態sql語句，使用儲存過程查詢語句。限制使用者訪問資料庫許可權。後端接受前端的資料時要過濾一些特殊字元（如：“--”等字元）
          c.後端如果出現異常的話，要使用自定義錯誤頁，防止使用者通過伺服器預設的錯誤頁面找到伺服器漏洞。

           安全查詢（引數化查詢）：

//獲取引數，拆分引數
 String custname = request.getParameter("customerName"); 
 String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
 
 //建立連線
 PreparedStatement pstmt = connection.prepareStatement( query );
 //將引數格式化
 pstmt.setString( 1, custname); 
 //獲取查詢結果
 ResultSet results = pstmt.executeQuery();
 

           安全查詢（儲存過程）

//獲取引數
String custname = request.getParameter("customerName"); 
try {
     //呼叫資料庫的儲存過程
     CallableStatement cs = connection.prepareCall("{call sp_getAccountBalance(?)}");
     //將引數格式化
     cs.setString(1, custname);
     //獲取查詢結果
     ResultSet results = cs.executeQuery();        
     
     } catch (SQLException se) {            
}

          不安全查詢

String query = "SELECT account_balance FROM user_data WHERE user_name = " + request.getParameter("customerName");
 //動態查詢，直接拼接字串
 try {
     //建立連線
     Statement statement = connection.createStatement();
     //獲取查詢結果
     ResultSet results = statement.executeQuery( query );
 }

      2.XSS攻擊

          引用：XSS攻擊及防禦

      3.CSRF攻擊

      4.Dos攻擊

         Dos攻擊是一種針對伺服器的能夠讓伺服器呈現靜止狀態的攻擊方式。有時候也加服務停止攻擊或拒絕服務攻擊。其原理就是傳送大量的合法請求到伺服器，伺服器無法分辨這些請求是正常請求還是攻擊請求，所以都會照單全收。海量的請求會造成伺服器停止工作或拒絕服務的狀態。這就是Dos攻擊。            攻擊方式：                              Ping Flood攻擊即利用ping命令不停的傳送的資料包到伺服器。
                             SYN Flood攻擊即利用tcp協議原理，偽造受害者的ip地址，一直保持與伺服器的連線，導致受害者連線伺服器的時候拒絕服務。
           解決方案：                              設定路由器與交換機的安全配置，即設定防火牆。

      5.Cookies攻擊

          通過Java Script非常容易訪問到當前網站的cookie。你可以開啟任何網站，然後在瀏覽器位址列中輸入：javascript:alert(doucment.cookie),立刻就可以看到當前站點的cookie（如果有的話）。攻擊者可以利用這個特性來取得你的關鍵資訊。例如，和XSS攻擊相配合，攻擊者在你的瀏覽器上執行特定的Java Script指令碼，取得你的cookie。假設這個網站僅依賴cookie來驗證使用者身份，那麼攻擊者就可以假冒你的身份來做一些事情。
現在多數瀏覽器都支援在cookie上打上HttpOnly的標記,凡有這個標誌的cookie就無法通過Java Script來取得,如果能在關鍵cookie上打上這個標記，就會大大增強cookie的安全性

     6.重定向攻擊

         一種常用的攻擊手段是“釣魚”。釣魚攻擊者，通常會發送給受害者一個合法連結，當連結被點選時，使用者被導向一個似是而非的非法網站，從而達到騙取使用者信任、竊取使用者資料的目的。為防止這種行為,我們必須對所有的重定向操作進行稽核,以避免重定向到一個危險的地方.常見解決方案是白名單,將合法的要重定向的url加到白名單中,非白名單上的域名重定向時拒之,第二種解決方案是重定向token,在合法的url上加上token,重定向時進行驗證.

     7.檔案上傳攻擊

        a.檔名攻擊,上傳的檔案採用上傳之前的檔名,可能造成:客戶端和服務端字元碼不相容,導致檔名亂碼問題;檔名包含指令碼,從而造成攻擊.
b.檔案字尾攻擊.上傳的檔案的字尾可能是exe可執行程式,js指令碼等檔案,這些程式可能被執行於受害者的客戶端,甚至可能執行於伺服器上.因此我們必須過濾檔名字尾,排除那些不被許可的檔名字尾.
c..檔案內容攻擊.IE6有一個很嚴重的問題 , 它不信任伺服器所傳送的content type，而是自動根據檔案內容來識別檔案的型別，並根據所識別的型別來顯示或執行檔案.如果上傳一個gif檔案,在檔案末尾放一段js攻擊指令碼,就有可能被執行.這種攻擊,它的檔名和content type看起來都是合法的gif圖片,然而其內容卻包含指令碼,這樣的攻擊無法用檔名過濾來排除，而是必須掃描其檔案內容，才能識別。         注意：該文章參照以下資料