WEB信息安全

1.SQL注入：
SQL注入式攻击是利用是指利用设计上的漏洞，在目标服务器上运行Sql命令以及进行其他方式的攻击，动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。比如：
　　 如果你的查询语句是select * from account where username='"user"' and password='"pwd"'"

　　 那么，如果输入的用户名是：1' or '1'='1

　　 那么，你的查询语句将会变成：
select * from admin where username='1 or '1'='1' and assword='"&wd&'"


所以防范的时候需要对用户的输入进行检查。特别式一些特殊字符，比如单引号，双引号，分号，逗号，冒号，连接号等进行转换或者过滤。

I》对用户的输入进行客户端和服务器端验证
II》同时尽量使用prestatement在使用PreparedStatement对象执行SQL命令时,命令被数据库进行编译和解析,然后被放到命令缓冲区.然后,每当执行同一个PreparedStatement对象时,它就会被再解析一次,但不会被再次编译.在缓冲区中可以发现预编译的命令,并且可以重新使用.
    如果要你写insert update delete 最好用preparedStatement,在有大量用户的企业级应用软件中,经常会重复执行相同的SQL命令,使用PreparedStatement对象带来的编译次数的减少能够提高数据库的总体性能.
2.异常情况：
将数据库表结构和程序文件显示给用户：
避免方法：自定义异常或者捕捉全部的异常，并抛出统一的异常，然后配置webwork出现异常的result,呈现统一的错误页面----为了提高用户的友好性，可根据异常情况，配置不同的视图。
3.事务处理：
单库处理：提交和回滚。
多库处理：利用JTA等进行处理。
来保证数据的统一。
4.显示给用户的信息：
权限控制：
有些信息是不是显示的过多给用户。
5.不要过度依赖JS验证，服务端验证是一定要加的。
6.不要有能够传递给浏览器的注释。