使用明文密码

[subornaakter20]

最好对密码进行加密，并且最好为此使用特殊的散列算法（例如，SHA 数字）。在这种情况下进行身份验证时，只允许验证加密的用户数据。

创建密码的强制条件也有助于减少漏洞。其中可能包括要求使用不同寄存器、字母和数字等的最少指定数量的字符。像 12345 这样的密码是一种非常可疑的保护措施。至于长度，20个字符的组 乌拉圭电话号码列表 合被认为是可靠的，而少于8个字符的组合是不允许的。

网站漏洞的类型有哪些？
通过注入进行黑客攻击的可能性

这意味着用户在解释器中输入未经验证的数据，并最终出现在网站上。任何访客的行为都可能导致这种情况发生。最常见的是，注入发生在 SQL、LDAP、XXE、OS 代码中。

SQL 注入是最常见的攻击类型。在他们的帮助下，黑客不仅可以侵入数据库，利用机密信息，甚至可以自行调整指标。造成这种脆弱性的原因是什么？如果解释器收到的数据没有所需的控制序列或命令（在 SQL 中，例如引号），就会发生这种情况。


身份验证和会话管理阶段的复杂性

大量应用程序在开始与用户合作之前会先识别用户。通常情况下，会出现功能故障，访问者的帐户最终会落入骗子手中，而无需输入密码。黑客已经学会拦截和使用（一次和重复）系统用来识别其客户端的密钥和令牌。


XSS（跨站点脚本）网站漏洞

这不是对服务器最严重的威胁类型，它对用户浏览器的威胁更大。跨站点脚本本质上是通过 JavaScript 进行的注入。黑客在某个字段中输入 JS 代码，用户的搜索引擎认为它是正确的（因为它看起来来自该网站）并接受它并执行。为了保护自己免受此类攻击，建议使用 htmlspecialchars（或类似）函数，它允许您转义所使用的特殊字符。


失去对资源访问的控制

即使在知名的引擎上，也会发生不为用户提供的数据最终被公开的情况（由于管理疏忽）。例如资源地址根目录中的文件的情况。像 wp-config.php 这样的文件（即带有 php 扩展名）将无法使用数据库访问密码打开。浏览器只能打开扩展名为.swp 的备份，如果将原始扩展名类型转换为 Vim，则会创建该备份。另一类访问控制问题是应用程序代码中的错误，允许未经授权的访问者访问敏感信息。