要知道，網站放在公網服務器上，會被各類人訪問，其中也包含一些黑客，所以網站是時刻面臨著被攻擊的風險。

WEB攻擊種類也是相當多的，最常見的WEB攻擊方式有以下這些：

• SQL注入；
  

• XSS、CSRF攻擊；

• 應用漏洞攻擊，常見的是上傳漏洞、富文本編輯器漏洞；

• DDoS攻擊等等。

那我們在開發及運營階段如何規避這些攻擊風險呢？結合我多年經驗，提供一些方案供大家參考：

1、SQL注入的防御：

• 對用戶輸入的數據務必做檢查，過濾或轉義危險字符，如：單引號、雙引號、SQL關鍵字等；
  

• SQL語句不要用拼接字符串的方式構建，而應該使用SQL預編譯的方式來處理參數綁定；

2、XSS、CSRF攻擊的防御

• 不要相信用戶任何的輸入，對用戶輸入的數據做過濾或轉義，比如過濾掉：JS腳本、CSS樣式；
  

• 表單Token；

3、應用漏洞防御

• 嚴格控制服務器上各目錄及文件的寫入、執行權限；

• 需要對上傳文件的格式做限定；

• 一些富文本編輯器自帶一些管理后臺要刪除掉；

• 對于CMS類程序，一有漏洞公布時第一時間修復；

4、DDoS攻擊防御

• 最經濟實用的方法就是使用CDN加速，一來加速資源訪問，二來隱藏了源服務器的IP；

• 碰到大流量DDoS時聯系機房做流量清洗，必要時換高防IP。

綜上，對于WEB應用而言攻擊種類很多，但是現在不少CDN廠商在CDN基礎上提供了安全監測功能，它會監測GET請求，對于一些不合法的參數會給過濾掉，這樣也就減少了不少攻擊。

以上就是我的觀點，對于這個問題大家是怎么看待的呢？歡迎在下方評論區交流~我是科技領域創作者，十年互聯網從業經驗，我了解更多科技知識！