最近公司被攻击了，然后才发现公司代码简直一点安全防范意识都没有，连基本的SQL，XSS过滤都没有，发现大部分PHP程序员都缺乏安全相关的了解。下面就我们遇到的一些攻击进行科普以及防范方案。

SQL注入

SQL注入是WEB攻击中最常见的注入方式。也是我们这次被攻击中最多的。
由于我们的程序中大部分都是进行拼装SQL的方式，然后对于用户输入的参数也没有进行过滤，导致给攻击者留下了漏洞。
具体为，登录的操作，一般是通过POST方式将username和password传递过来。

SELECT * FROM user WHERE username='$username' AND password='$password'

正常情况下，我们希望执行的SQL是

SELECT * FROM user WHERE username='vckai' AND password='123456'

但是如果攻击者传递的用户为非法用户名vckai' or 1=1--，在SQL里面—是注释标记，所以查询语句会在此中断。这就让攻击者在不知道任何合法用户名和密码的情况下成功登录了。

SELECT * FROM user WHERE username='vckai' or 1=1--' AND password='123456'

甚至于，攻击者可以用同样的方式执行其他SQL，查询出你其他DB和表数据。

现在知道SQL注入的危害了，那怎么预防呢？

• 首先在PHP中，首先对于int类型的数据，一定要在接收数据的时候进行(int) $_POST['pagesize']进行强转义。
• 根据业务做参数验证，如用户名一般只允许4-20位字符和数字。这样攻击者就没办法根据这个进行注入了。
• 虽然MySQL和PHP本身由提供过滤函数addslashes和mysql_real_escape_string进行转义，但是仍然有被绕过的风险，所以最佳方法是使用PDO的预处理。

XSS攻击

XSS通常可以分为两大类：一类是存储型XSS，主要出现在让用户输入数据，供其他浏览此页的用户进行查看的地方，包括留言、评论、博客日志和各类表单等。应用程序从数据库中查询数据，在页面中显示出来，攻击者在相关页面输入恶意的脚本数据后，用户浏览此类页面时就可能受到攻击。这个流程简单可以描述为:恶意用户的Html输入Web程序->进入数据库->Web程序->用户浏览器。另一类是反射型XSS，主要做法是将脚本代码加入URL地址的请求参数里，请求参数进入程序后在页面直接输出，用户点击类似的恶意链接就可能受到攻击。

XSS目前主要的手段和目的如下：

• 盗用cookie，获取敏感信息。
• 利用植入Flash，通过crossdomain权限设置进一步获取更高权限；或者利用Java等得到类似的操作。
• 利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击者）用户的身份执行一些管理动作，或执行一些如:发微博、加好友、发私信等常规操作，前段时间新浪微博就遭遇过一次XSS。
• 利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动。
• 在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDoS攻击的效果

如何预防XSS攻击
答案很简单，坚决不要相信用户的任何输入，并过滤掉输入中的所有特殊字符。这样就能消灭绝大部分的XSS攻击。

• 使用htmlspecialchars函数进行参数过滤，将<>转换为HTML实体。注意，有一些APP开发的时候，会直接输出HTML实体，导致用户正常数据处理错误，所以返回给APP的时候，建议再转义回来htmlspecialchars_decode，或者让客户端做统一处理。