SQL 注入防护
使用参数化查询或预编译语句替代字符串拼接。例如在Java中采用PreparedStatement,PHP中使用PDO绑定参数:
java
String sql = "SELECT * FROM users WHERE username = ?";
PreparedStatement stmt = connection.prepareStatement(sql);
stmt.setString(1, userInput);ORM框架如Hibernate、MyBatis等内置防注入机制。避免直接拼接SQL语句,特殊字符需转义处理,如MySQL的mysql_real_escape_string()。
最小权限原则配置数据库账户权限,禁止应用使用root账户。启用WAF规则过滤常见注入特征,如UNION SELECT、--等注释符。
XSS跨站脚本防护
输出数据时进行HTML实体编码,例如将<转为<。前端框架如React/Vue默认提供XSS防护,避免使用v-html或dangerouslySetInnerHTML。
设置HTTP头Content-Security-Policy限制脚本来源:
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com表单提交启用验证码防止自动化攻击,Cookie标记HttpOnly和Secure属性。富文本场景使用白名单过滤标签,如DOMPurify库。
文件上传漏洞防护
限制上传文件扩展名至业务必需类型,如仅允许.jpg,.png。服务端校验文件头魔数而非扩展名,防止伪装攻击。
存储文件时重命名随机化,避免用户控制文件名。禁用上传目录的脚本执行权限,Nginx配置示例:
nginx
location ^~ /uploads/ {
deny all;
}扫描上传文件内容是否包含恶意代码,病毒文件需隔离处理。云存储服务可启用对象版本控制与访问日志审计。
综合防护措施
定期更新应用框架与组件,修复已知漏洞。敏感操作记录详细日志,包括IP、时间戳和操作内容。
关键业务接口添加速率限制,防止暴力破解。生产环境关闭错误调试信息,避免泄露系统路径等敏感数据。
安全测试应覆盖DAST动态扫描与SAST代码审计,渗透测试模拟攻击验证防护有效性。建立应急响应流程,漏洞确认后72小时内完成修复。