最新Django2.0.1在线教育零基础到上线教程(十二)

演示地址: http://mxonline.mtianyan.cn

教程仓库地址1: https://github.com/mtianyan/DjangoGetStarted 教程仓库地址2: https://github.com/mtianyan/Mxonline2 教程仓库地址3: https://github.com/mtianyan/Mxonline3

十二: web安全防护

sql注入攻击与防范

sql注入的危害

mark

对于用户的输入进行合法性判断。

class LoginUnsafeView(View):
    def get(self, request):
        return render(request, "login.html", {})
    def post(self, request):
        user_name = request.POST.get("username", "")
        pass_word = request.POST.get("password", "")

        import MySQLdb
        conn = MySQLdb.connect(host='127.0.0.1', user='root', passwd='root', db='mxonline', charset='utf8')
        cursor = conn.cursor()
        sql_select = "select * from users_userprofile where email='{0}' and password='{1}'".format(user_name, pass_word)

        result = cursor.execute(sql_select)
        for row in cursor.fetchall():
            # 查询到用户
            pass
        print 'hello'

urls.py
from users.views import LoginUnsafeView

urlpatterns = [
    url('^login/', LoginUnsafeView.as_view(), name='login'),
]

参数中加入sql语句拼接字符串使之为真。

使用django的orm,它已经对这些做了处理

xss攻击

xss跨站脚本攻击(Cross Site Scripting)的危害

mark

正常流程

mark

mark

当传入iPhone6时,这个字符会被显示到页面中。

mark

将这段代码改成js代码

mark

黑客拿到你的cookie信息。然后伪装成用户。

Xss攻击防范

mark

crsf攻击与防护

crsf跨站请求伪造(Cross-site request forgery)的危害

mark

mark

用户并没有向a请求,而是访问了b。b要求用户访问a的。 原因:用户向a的每次请求都会带上session id

图片中插入。

提交form表单必须添加crsf token

攻击网站无法生成crsf token

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

系统方案合集-系统备份方案

导读 | 精选 一、方案特点 此方案是基于批处理脚本和任务计划技术,针对系统特有文件结构和数据库结构的特点,而形成的系统备份方案。该方案特点: 1.易用性好,通...

3547
来自专栏Java技术栈

Dubbo面试题锦集

1、默认使用的是什么通信框架,还有别的选择吗2、服务调用是阻塞的吗? 3、一般使用什么注册中心?还有别的选择吗? 4、默认使用什么序列化框架,你知道的还有哪些?...

5579
来自专栏Janti

spring boot之从零开始开发自己的网站

3112
来自专栏蓝天

选择设置好ext3日志模式

Linux是一种开放的、因Internet而产生的操作系统。Internet的发展、以网络为中心的计算模式如电子商务被迅速接受和普及,都为 Linux提供了更巨...

942
来自专栏王磊的博客

React Native绑定微信分享/登录/支付(演示+实现步骤+注意事项)

React Native(以下简称RN)绑定微信分享/微信登录/微信支付的实现演示+源码+注意事项!微信的调用大同小异,本文实现了微信的分享功能,其他功能可以在...

6386
来自专栏翻译

在Ubuntu 14.04/14.10上搭建Minecraft Spigot服务器

本文介绍了如何在Ubuntu 14.04 / 14.10上搭建自己的Minecraft服务器,搭建一个让我们可以与朋友远程开黑的私服,甚至是搭建一个几百人的公共...

2192
来自专栏腾讯云serverless的专栏

使用 SCF 无服务器云函数定时拨测站点并邮件告警

利用无服务器架构中提供的定时触发能力,在运维监控场景有很多种用处,例如定时备份、定时拨测、定时统计等。

9.5K2
来自专栏安恒信息

揭密HTML 5带来的攻击手法

HTML5 是下一代的HTML,HTML5赋予网页更好的意义和结构。更加丰富的标签将随着对RDFa的,微数据与微格式等方面的支持,构建对程序、对用户...

3615
来自专栏杨建荣的学习笔记

Windows环境下搭建Oracle 12c的体验

昨天准备一个Oracle环境,结果看起来是很简单的事情,却因为各种各样的原因耽搁了一些时间,从下载到安装部署,已经几个小时过去了,抬头看看,已经是凌晨快2点了。...

1210
来自专栏子勰随笔

SDK开发经验之测试

2186

扫码关注云+社区

领取腾讯云代金券