防止脚本注入

A. asp.net如何防止xss(脚本注入啊)

<script>alert('abc')</script> 替换成<script>alert('abc')</script>这样的话显示出来也是<script>alert('abc')</script> 但是意义却不再是脚本而是字符串了。可以通过替换把<>这两个符号替换掉即可。

B. 如何实现php的安全最大化怎样避免sql注入漏洞和xss跨站脚本攻击漏洞

使用php安全模式

服务器要做好管理，账号权限是否合理。

假定所有用户的输入都是“恶意”的，防止XSS攻击，譬如：对用户的输入输出做好必要的过滤

防止CSRF，表单设置隐藏域，post一个随机字符串到后台，可以有效防止跨站请求伪造。

文件上传，检查是否做好效验，要注意上传文件存储目录权限。

防御SQL注入。

避免SQL注入漏洞

1.使用预编译语句

2.使用安全的存储过程

3.检查输入数据的数据类型

4.从数据库自身的角度考虑，应该使用最小权限原则，不可使用root或dbowner的身份连接数据库。若多个应用使用同一个数据库，也应该为数据库分配不同的账户。web应用使用的数据库账户，不应该有创建自定义函数，操作本地文件的权限。

避免XSS跨站脚本攻击

1.假定所有用户输入都是“邪恶”的

2.考虑周全的正则表达式

3.为cookie设置HttpOnly,防止cookie劫持

4.外部js不一定可靠

5.出去不必要的HTML注释

6. 针对非法的HTML代码包括单双引号等，使用htmlspecialchars()函数。

C. php防止sql注入以及xss跨站脚本攻击

1.post数据

封装转义函数 防sql注入  eag：addslashes($username);​addslashes($password);​ 

eag:防止sql注入函数封装 

function deepslashes($data){

#判断$data的表现形式 并且需要处理空的情况

if(empty($data)){

return($data);

}​

#高级简写 return is_array($data) ? array_map('deepslashes',$data) : addslashes($data);

#初级写法​

if(is_array($data)){

#递归循环遍历处理多维数组

foreach ($data as $v) {

return deepslashes($v);

}

}else{

#单一变量

return addslashes($data);

}

#初级写法​​

}​

2.get数据​

指url 传参数导致sql发生改变

解决方案​

①强制转换，使用函数intval 或者 数据类型 的关键字int

②隐式转换，通过运算，只需要+0即可​

3.xss跨站脚本攻击​

​ 指恶意攻击向web页面插入html、js标签导致页面出现错误

解决方案

转义标签'<' '>'即可，有以下php函数可解决

htmlspecialchars 函数 和 htmlentites函数​

eag:

​function deepslashes($data){

#判断$data的表现形式 并且需要处理空的情况

if(empty($data)){

return($data);

}​

return is_array($data) ? array_map('deepslashes',$data) : htmlspecialchars ($data);

}​

D. 网站如何防止sql注入攻击的解决办法

首先我们来了解下什么是SQL注入，SQL注入简单来讲就是将一些非法参数插入到网站数据库中去，执行一些sql命令，比如查询数据库的账号密码，数据库的版本，数据库服务器的IP等等的一些操作，sql注入是目前网站漏洞中危害最大的一个漏洞，受攻击的网站占大多数都是sql注入攻击。

sql注入攻击用英语来讲Structured Query Language，在网站的编程语言当中是一种比较另类的网站开发语言，我们网站安全行业通常来讲sql是用来数据库查询的一种网站开发语言，同时也是一种脚本文件的一个文件名，通俗来讲sql就是用来对网站的数据库进行查询，以及增加，写入，更新数据库的一个sql数据库操作。

关于数据库我们分为2种数据库，一种是关系数据库，非关系数据库，那么目前网站使用的都是关系数据库，关系数据库分为sql数据库，microsoft sql server数据库，ACC数据库，mysql数据库，oracle数据库，DB2数据库，postgresql数据库等等的关系数据库，非关系数据库分为nosql数据库，可以存储很大数据，针对于一些并发较高，存储较多，云计算的场景，频繁读取写入的数据库，像memcachedb,redis,mongodb等等非关系数据库。

那么什么是sql注入呢？ 简单来讲就是对网站强行进行插入数据，执行sql恶意语句对网站进行攻击，对网站进行sql注入尝试，可以获取一些私密的信息，像数据库的版本，管理员的账号密码等等。

关于如何防止sql注入攻击，我们从以下几点开始入手

首先我们可以了解到sql注入攻击都是通过拼接的方式，把一些恶意的参数拼接到一起，然后在网站的前端中插入，并执行到服务器后端到数据库中去，通常我们在写PHP网站代码的时候会将get ID这个参数值获取到后直接拼接到后端服务器中去，查询数据库，但是如果拼接了一些恶意的非法参数，那么久可以当做sql语句来执行，如果防止sql注入呢？

为了防止网站被sql注入攻击，我们应该从一开始写代码的时候就应该过滤一些sql注入的非法参数，将查询的一些sql语句，以及用户输入的参数值都以字符串的方式来处理，不论用户输入的什么东西，在sql查询的时候只是一段字符串，这样构造的任何恶意参数都会以字符串的方式去查询数据库，一直恶意的sql注入攻击就不会被执行，sql注入语句也就没有效果了，再一个就是网站里的任何一个可以写入的地方尽可能的严格过滤与限制，漏下一个可以输入的地方网站就会被攻击，网站就会被黑，所有做的网站安全就会没有效果，包括一些get,post,cookie方式的提交都是不可信的，像数据表里referer user-agent等字段都是可以伪造，写入sql注入语句的，像前端时间爆发的ecshop漏洞利用的就是user.php,伪造referer参数进行了sql注入，执行了远程代码。

再一个防止sql注入的方法就是开启PHP的魔术配置，开启安全配置模式，将safe_mode开启on.以及关闭全局变量模式，register_globals参数设置为on,magic_quotes_gpc参数开启，防止sql注入.如果对网站防止sql注入不懂的话，也可以找专业的网站安全公司来做安全，防止sql注入。