黑客攻击的类型及拦截方式：

 

　　黑客可以采取多种不同的攻击方式部分或全部控制一个网站。一般来说，最常见和最危险的是跨站点脚本(XSS，cross-site scripting )和SQL植入(injection) 。

 

　　下面我们要介绍的是跨站点脚本( XSS )技术 。跨站点脚本是一种通过利用网络应用程序层面的安全漏洞，在网页中植入恶意代码的技术。当网络应用程序处理通过用户输入获得的数据，并且在返回给最终用户前没有任何进一步的检查或验证时，这种攻击就可能发生。您可以在网络应用安全联盟(英文)中找到一些跨站点脚本的例子。

 

　　有许多办法可以确保网络应用程序不被这种技术侵犯。一些简便易行的方法包括：

 

　　利用数据编码，避免潜在恶意字符的直接植入(例如，PHP中的htmlspecialchars功能);

 

　　剔除可以被插入到表单中的数据输入(例如，PHP中的strip tags功能);

 

　　在数据输入和数据库端之间创建一个“层”，以避免应用程序代码被直接植入恶意字符。

 

　　SQL植入是一种在网络应用程序中植入恶意代码的技术，它利用数据库层面的安全漏洞以达到非法控制数据库目的。这种技术非常强大，它可以操纵网址(查询字符串)或其他任何形式(搜索，登录，电子邮件注册)以植入恶意代码。您可以在网络应用安全联盟(英文)中找到一些关于SQL植入的例子。

 

　　为避免此类黑客攻击的发生的确有法可循。举例来说，在前端界面和后端数据库之间增加一个“中间层”就是一种很好的做法。在PHP中，PDO(PHP Data Objects)扩展通常与参数(有时被称作placeholder或绑定变量)共同发生作用，而不是直接将用户输入做为命令语句。另一种极为简单的技术 是字符转义，通过这种方式，所有可以直接影响数据库结构的危险字符都可以被转义。例如，参数中每出现一个单引号[ ‘ ]必须代之以两个单引号[ ’ ‘ ]来形成一个有效的SQL字符串。这只是两种您可以采取的、最常见的用以改进网站安全并避免SQL植入的有效方式。您还可以在网上找到许多其他符合您需求的资源(编程语言，具体的Web应用程序等)。