FAQ
系统怎么防 SQL 注入和 XSS 攻击?
💡 直接回答
SQL 注入用参数化查询(PDO/PreparedStatement)彻底阻断;XSS 用输出编码 + CSP 策略 + HttpOnly Cookie 三层防护。这两个是 Web 安全基本功。
SQL 注入和 XSS 是 OWASP Top 10 中最常见的 Web 漏洞,也是最基本的安全开发要求。
SQL 注入防护
- 参数化查询:所有 SQL 使用 PreparedStatement/PDO,彻底阻断注入
- ORM 框架:使用 ThinkPHP/Laravel/MyBatis 等 ORM,自动参数化
- 输入校验:服务端对所有输入做类型/长度/格式校验
- 最小权限:数据库账户只给必要的权限(禁止 DROP/ALTER)
XSS 防护
- 输出编码:HTML/JS/URL 输出时自动转义(htmlspecialchars)
- CSP 策略:Content-Security-Policy 限制页面可加载的资源来源
- HttpOnly Cookie:Session Cookie 标记 HttpOnly,JS 无法读取
- 输入过滤:富文本编辑器内容用白名单过滤(只允许安全标签)
聚匠能做什么
聚匠科技的开发规范强制要求参数化查询 + 输出编码 + CSP + HttpOnly,代码审查中包含安全审计环节。
※ 安全防护需持续关注新型攻击方式,定期做安全扫描和渗透测试。