本文主要介绍了WEB前端常见的攻击方式和解决方案。解释的很详细，帮助大家更好的面对web攻击。有兴趣的朋友可以理解。

唐山建网公司建立一个网站后，如果不注意安全问题，很容易被攻击。这里有一些漏洞和防止攻击的方法。

一、SQL注入

所谓SQL注入，就是通过在Web表单中插入SQL命令提交或输入域名或页面请求的查询字符串，来欺骗服务器执行恶意的SQL命令。具体来说，就是能够将(恶意的)SQL命令注入到后台数据库引擎中，通过使用现有的应用程序来执行。它可以通过以web形式输入(恶意的)SQL语句，而不是按照设计者的意图执行SQL语句，来获得一个存在安全漏洞的网站上的数据库。比如以前很多影视网站泄露VIP会员密码大多是通过web表单提交查询字符，特别容易受到SQL注入攻击。

原则：

SQL注入攻击是指在Web应用中引入特殊的输入作为参数，这些输入大多是SQL语法中的一些组合。主要原因是程序没有仔细过滤用户输入的数据，导致非法数据入侵系统。

根据相关技术原理，SQL注入可以分为平台层注入和代码层注入。前者是由不安全的数据库配置或数据库平台的漏洞造成的。后者主要是程序员没有仔细过滤输入，从而执行非法数据查询。基于此，SQL注入的原因通常表现在以下几个方面：

(1)类型处理不当；

数据库配置不安全；

查询集处理不合理；

错误处理不当；

转义字符处理不当；

多次提交处理不当。

保护：

1.永远不要相信用户输入。通过正则表达式或限制长度来检查用户的输入；转换单引号和双'-'等。

2.永远不要使用动态组装的sql，而是使用参数化的sql或直接使用存储过程进行数据查询和访问。

3.不要使用具有管理员权限的数据库连接，而要对每个应用程序使用具有有限权限的单独数据库连接。

4.不要直接存储机密信息，加密或散列密码和敏感信息。

5.所应用的异常信息应该给出尽可能少的提示，并且最好使用用户定义的错误信息来打包原始错误信息

6.sql注入的检测方法一般采用辅助软件或网站平台，软件一般采用SQL注入检测工具jsky、MDCSOFT SCAN等。MDCSOFT-IPS可以有效防御SQL注入和XSS攻击。

第二，跨站点脚本(XSS)

跨站点脚本攻击(XSS)是攻击网站最常见和最基本的方法。攻击者在网页上发布包含攻击性代码的数据。当查看者看到此页面时，特定脚本将作为查看者的用户执行。XSS可以轻松修改用户数据、窃取用户信息并引发其他类型的攻击，如CSRF攻击。

通用解决方案：确保输出到HTML页面的数据在HTML中进行转义