了解了xss攻擊、sql注入漏洞之後，感到驚慌，失去了編寫一個網站的勇氣怎麼辦？

01-06

最近在學web開發，又正好看了烏雲網的各種漏洞的資料。覺得自己隨便寫行腳本代碼都是噼里啪啦的一堆漏洞。

一般是先實現功能，穩定了之後再增加安全處理。

安全處理集中做效果高一些

我來告訴你真相，真相是：你的網站根本就引不起黑客的興趣，因為網站太多了，黑客就像一條鯨魚，而每個網站都是一個水分子，雖然鯨魚很大又很多，並且還天天在海里游，但碰到你這個水分子的幾率還是非常小非常小的。

並且，現在伺服器供應商都提供了沙盒模式以及最初級的安全保護，可以抵禦大部分小學生（沒錯，普通的小學生看過幾集傻瓜式黑客教程就能黑你的網站）攻擊了，所以也沒那麼不安全。

退一步說，就算是網站被黑了，其實也沒什麼大不了的，黑客很快就發現這毫無意義，也沒意思，首先沒有成就感，因為你的網站訪問者不多，其次也沒什麼意思，因為攻破太容易，何況你這麼簡單的網站恢復起來也容易的很，所以就更沒有成就感。

我曾經混過一個很小眾的網站，黑客早就脫庫獲得超管許可權了，每天把網站弄的亂七八糟，然後過了一段，黑客自己就覺得沒意思了，因為經常上這網站的每天不超過十個人，大家都漠然視之，後來黑客還發一些帖子，有時挑釁，有時秀優越，也是沒人搭理，連個回帖都沒有，然後就沒有然後了，我覺得在整個事件中，這個黑客才是最值得同情的，想必會給他的黑客事業造成心理陰影吧。

了解攻擊原理做針對性的防範不安全的隱患大多來自用戶輸入最好能做到只取自己需要的格式

對sql注入可以使用資料庫的prepare statement；對xss要開啟模板的自動escape；xsrf各種框架基本都會提供xsrf token防範支持；cookie不要存取敏感信息，萬不得已需要存敏感信息，最好也通過hmac簽名認證。。。。最好要記住，後台一定要驗證用戶輸入變數，包括http頭，如referer等。

可以關注一下漏洞掃描工具的原理，如果你懂python，可以看看我之前寫的簡單漏掃代碼，Skycrab/leakScan · GitHub

學習編程的時候就應該了解防禦性編程的概念，這也怪部分國內的書太爛。

對於所有輸入參數，有格式的拿正則驗證，沒有的根據需要進行轉義。

sql一律強行使用預編譯的函數。就完了唄。

實在心虛的話拿自動化工具檢測一下。

哎呀lz不想學習直說嘛

我當初也和你想得一樣啊！！！後來被逼的，有個項目必須做，而且是要給大家服務。然後就惡補相關安全知識，再後來給別人找漏洞或者『審計代碼』了。。。

sql注入的話，參數化你的查詢語句不就行了？xss最基本的是過濾js tag。肯定還不夠，你上網找找解決方案。這種常見問題肯定有解決方案。常見的坑就那麼多，都踩踩。軟體及時更新。注意安全新聞。多跟樓上大牛交流。

人總是在不斷進步的。

這是不自信的表現。雖然你可能覺得自己是新手，覺得自己寫的代碼會有很多漏洞。但是有了這種想法你沒信心了，而不是想著如何提高的編程水平，提升自己的安全意識，寫出更安全更有效的代碼？那你可能不適合做這方面的事。因為既然你開始做一件事，應該是對他感興趣，既然感興趣了自然就會研究他，研究的多了就會越來越厲害，越來越有信心。但是你就簡單的看了幾個漏洞就覺得沒勇氣了，我覺得你還是好好想想，可能在其他方向上你會更感興趣！

買waf

Done is better than perfect. -- Mark Zuckerberg

應該是了解了之後寫程序更有勇氣,你想想,你做的產品有兩個用戶,一個真正用戶,一個破壞者.你在滿足用戶的同時還要鬥智斗勇,想想都激動嘛..

無知。敬畏。隨心所欲

雖然我知道不作死就不會死.

你寫完上線，幫你免費做個安全測試。

做java開發的逗逼

就SQL.注入，xss，等基本的web。過濾掉大部分的關鍵字，再找幾個在線的安全掃描網站掃掃，看看自己是否過濾全整了，最後再在伺服器上裝條安全狗，因能防住大部分的入侵了

能解決的問題都不是問題。不就是尖角括弧引起的xss，不就是sql拼接引起的注入。改就行

看一下白帽子安全這本書

裝個安全狗，在輸入的地方留個心眼，一般問題不大。