原文资料链接 https://mp.weixin.qq.com/s/SWW_pkG_c-9kebDDpQkamw A1. SQL注入 防止注入漏洞需要将不可信数据从命令及查询中区分开。 1.最佳选择是使用安全的API，完全避免使用解释器或提 供参数化界面的API。但要注意有些参数化的API，比 如存储过程（stored procedures），如果使用不当，仍然可以引入注入漏洞。 2.如果没法使用一个参数化的API，那么你应该使用解释器具体的escape语法来避免特殊字符。OWASP的ESAPI 就有一些escape例程。 3.使用正面的或“白名单”的具有恰当的规范化的输入验证方法同样会有助于防止注入攻击。但由于很多应用在输入中需要特殊字符，这一方法不是完整的防护方法。 OWASP的ESAPI中包含一个白名单输入验证例程的扩展库。 * * * * * A2. 失效的身份认证和会话管理 常见的会话劫持 就是用户的身份凭证没有哈希和加密、会话ID暴露在URL里（例如, URL重写）。 对企业最主要的建议是让开发人员使用如下资源： 1.一套单一的强大的认证和会话管理控制系统。这套控 制系统应: a) 满足OWASP的应用程序安全验证标准（ASVS） 中V2（认证）和V3（会话管理）中制定的所 有认证和会话管 理的要求。 b) 具有简单的开发界面ESAPI认证器和用户 API 是可以仿照、使用或扩展的好范例。 2. 企业同样也要做出巨大努力来避免跨站漏洞，因为这 一漏洞可以用来盗窃用户会话ID。 * * * * * A3、跨站脚本 (XSS)攻击 A4、失效的访问控制 注解：1 代码分析工具：http://bobao.360.cn/learning/detail/108.html