系统命令注入、SQL 注入、WEBSHELL上传、WEB整站系统漏洞、XSS攻击，方法过滤这些攻击具体指的是什么呢？

---

系统命令注入：在特定业务场景下，可能会需要结合一些系统命令来完成功能实现。在这个前提下，用户从前端（浏览器）提交的数据被带入到执行的命令中，则可能存在该种漏洞。

SQL 注入：大部分网站业务场景下，都可能会用到 SQL 查询进行资料库操作，在这个前提下，用户从前端（浏览器）提交的数据被带入到执行的SQL语句中，且没有做好完善的转义或过滤，则可能存在该种漏洞。

WEBSHELL上传：通常是 jsp、php、asp 等动态脚本网站，在实现上传功能的过程中，由于对文件类型限制的不严谨导致被绕过，最终导致攻击者把 webshell 上传到目标站点。

XSS攻击也就是跨站脚本，一般发生在浏览器层面，通常是由于用户可以在网站上可以提交各种各样的内容，但如果web服务端没有正确的处理用户输入的数据（没有做过滤或是其它转义处理没有正确的处理用户输入的数据），导致攻击脚本在浏览器中执行。

编辑于 2019-05-07继续浏览内容知乎发现更大的世界打开Chrome继续福尔摩斌

搜索引擎

---

搜索引擎

---

泻药，想搞懂这些，我建议你学下后端开发，不懂编程的安全都是耍流氓。

---

总的来说，过滤关键词，区别就是后台过滤方法，例如文件上传以php来说数据打散为一个数组，判断后缀加设白名单，sql注入预处理，xss html实体编码...

厂商不断地加固，黑客不断地bypass

---

永远不要相信用户的输入，过滤。

---

简单的说，这些常规的攻击方式目前检测都是基于黑名单，每一种攻击都会发送相应的payload也就是攻击代码，过滤相关攻击关键字在目前是主要手段。

---

过滤 sql语句 特殊符号 随时自己扫一扫自己的站吧

---

推荐阅读：

相关文章