trim() //去除空格
mysql_real_escape_string() //转义防止sql注入
htmlspecialchars() //将特殊符号转义(默认不对单引号进行处理)
strip_tags() //过滤字符串中的HTML标签
CSRF(Cross-Site Request Forgery)攻击:
攻击者盗用用户的身份,以用户的名义进行某些非法操作。
前提:
1.目标网站存在CSRF漏洞
2.用户与被攻击网站之间已经建立会话,且保持登录活动状态
3.受害者需要点击钓鱼链接
改进:
1.将攻击URL做成短链接
2.将CSRF嵌入到其他网页,比如图片跳转的url等等(类似网页挂马
3.将CSRF写入xss注入点中(最好是存储型
例如:<script src="payload"></script> 通过这样可以绕过referrer检测
