這篇文章將簡單介紹三種常見的攻擊手法 - SQL Injection、XSS和CSRF:

SQL注入攻擊 SQL Injection

將惡意的SQL查詢注入到應用程式輸入欄位中，誘使應用程式執行未預期的查詢，而獲得資料庫中的敏感資訊、竄改資料或刪除資料。

攻擊範例

假設你有一個登入表單，查詢代碼如下:

SELECT * FROM users WHERE username = 'admin' AND password = 'password123';

攻擊者可以在user欄位輸入:

admin' --

會變成:

SELECT * FROM users WHERE username = 'admin' -- ' AND password = 'password123';

--使後面的部分變成注釋，導致密碼檢查會被繞過，這樣就可以成功登入。

防禦

• 使用參數化查詢
  例:

SELECT * FROM users WHERE username = ? AND password = ?

• 過濾和驗證所有輸入

XSS

攻擊者將惡意的JavaScript代碼注入到網頁中，當其他使用者進入該頁面時，惡意代碼會在使用者的瀏覽器中執行，從而竊取敏感資訊、竄改頁面。

攻擊範例

攻擊者輸入:

<script>alert('Hacked!');</script>

這樣使用者瀏覽該介面時，這段代碼將自動執行，彈出提示框，也可以利用這種手段竊取cookie等敏感資訊。

防禦

• 對所有輸入進行嚴格的過濾與編碼。
• 使用現代框架（如React、Angular），它們自帶防止XSS的機制。

CSRF

攻擊者誘使使用者在已經登入的狀態下執行未授權的操作，例如利用惡意網站發送請求，從而操作使用者帳戶。