web server博客项目

  1. Node.js 从零开发 web server博客项目[项目介绍]
  2. Node.js 从零开发 web server博客项目[接口]
  3. Node.js 从零开发 web server博客项目[数据存储]
  4. Node.js 从零开发 web server博客项目[登录]
  5. Node.js 从零开发 web server博客项目[日志]
  6. Node.js 从零开发 web server博客项目[安全]
  7. Node.js 从零开发 web server博客项目[express重构博客项目]
  8. Node.js 从零开发 web server博客项目[koa2重构博客项目]
  9. Node.js 从零开发 web server博客项目[上线与配置]

  • SQL 注入: 窃取数据库内容

    • 最原始 , 最简单的攻击 , 从有了 web2.0 就有了 sql 注入攻击
    • 攻击方式 : 输入一个 sql 片段 最终拼接成一段攻击代码
      • select username, realname from users where username='zhangsan'-- 'and password='123'

        用户名:zhangsan'--空格

        此时只需要在浏览器端用用户名登录即可

        用户名:zhangsan';delete from users;--空格 这将删除数据库所有内容
    • 预防措施 : 使用一个 MySQL 的 escape 函数处理输入内容即可

      • 代码实现

controller/login.js

const { exec, escape } = require('../db/mysql')

const { genPassword } = require('../utils/cryp')

const login = (username, password) => {

    username = escape(username)

    password = escape(password)

    const sql = `

        select username, realname from users where username=${username} and password=${password}

    `

    ...

  • XSS 攻击 : 窃取前端的 cookie 内容

    • 攻击方式 : 在页面展示内容中参杂 js 代码 , 以获取网页信息
    • 在新建文档中的标题编辑及框中写入<script>alert(document.cookie)</script>
    • 预防措施 : 转换生成 js 的特殊字符
      • 在服务端中转译为&lt;scrit&gt;alert(document.cookie)&lt;/script&gt;

  • 密码加密 : 保障用户信息安全 ( 重要! )

    • 万一数据库被用户攻破 , 最不应该泄露的就是用户信息
    • 攻击方式 : 获取用户名和密码 , 再去尝试登录其他系统
    • 预防措施 : 将密码加密 , 即使拿到密码也不知道明文

      • 代码实现

        • 创建utils/crypto.js
const crypto = require('crypto');

// 密匙

const secret = 'abcdefg';

// sha256加密

function sha256(content) {

  return crypto.createHmac('sha256', secret)

    .update(content)

    .digest('hex');

}

// md5再次加密

function genPassword(password) {

  return crypto.createHash('md5', secret)

    .update(password)

    .digest('hex')

}

module.exports = {

  genPassword

}

  • 使用

ctroller/user.js

const { exec, escape } = require('../db/mysql')

const { genPassword } = require('../utils/cryp')

const login = (username, password) => {

    username = escape(username)

    // 生成加密密码

    password = genPassword(password)

    password = escape(password)

    const sql = `

        select username, realname from users where username=${username} and password=${password}

    `

    // console.log('sql is', sql)

    return exec(sql).then(rows => {

        return rows[0] || {}

    })

}

module.exports = {

    login

}

Node.js 从零开发 web server博客项目[安全]的更多相关文章

  1. Node.js 从零开发 web server博客项目[express重构博客项目]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  2. Node.js 从零开发 web server博客项目[数据存储]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  3. Node.js 从零开发 web server博客项目[koa2重构博客项目]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  4. Node.js 从零开发 web server博客项目[日志]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  5. Node.js 从零开发 web server博客项目[登录]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  6. Node.js 从零开发 web server博客项目[接口]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  7. Node.js 从零开发 web server博客项目[项目介绍]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  8. Vue+node.js实现一个简洁的个人博客系统

    本项目是一个用vue和node以及mysql实现的一个简单的个人博客系统,整体逻辑比较简单.但是可以我们完整的了解一个项目从数据库到后端到前端的实现过程,适合不太懂这一块的朋友们拿来练手. 本项目所用 ...

  9. github pages + Hexo + node.js 搭建属于自己的个人博客网站

     之前我写过一篇用Github实现个人主页的博客:https://www.cnblogs.com/tu-0718/p/8081288.html   后来看到某个大佬写的文章:[5分钟 0元搭建个人独立 ...

随机推荐

  1. Android 禁止ViewPager左右滑动的功能实现

    来来来,各位看官~ Look here!!! Android    禁止ViewPager左右滑动的功能实现!! I think it`s so easy,无需重写ViewPager!!! JUST ...

  2. 秒杀 2Sum 3Sum 4Sum 算法题

    2 Sum 这题是 Leetcode 的第一题,相信大部分小伙伴都听过的吧. 作为一道标着 Easy 难度的题,它真的这么简单吗? 我在之前的刷题视频里说过,大家刷题一定要吃透一类题,为什么有的人题目 ...

  3. AVL树旋转

    什么是AVL树? AVL树是带有平衡条件的二叉查找树,一颗AVL树首先是二叉查收树(每个节点如果有左子树或右子树,那么左子树中数据小于该节点数据,右子树数据大于该节点数据),其次,AVL树必须满足平衡 ...

  4. python基础 Day6

    python Day6 id 可以获得python的内存地址 id的举例子 a=100 print(id(a)) #140712544153072 这里就是该对象的内存地址 is 判断的是比较内存地址 ...

  5. kolla快速集成openstack-ocata和opencontrail-4.0.1.0单节点

    参考链接: kolla快速集成openstack-ocata和opencontrail-4.0.1.0单节点 https://github.com/Juniper/contrail-docker/wi ...

  6. sge的简单的应用

    1.sge提交脚本qsub 1.qsub work.sh work.sh 不能以数字开头 2.qsub work.sh  默认工作路径为/home/username 3.qsub -cwd work. ...

  7. dcoker 小应用(一)

    docker 创建Ubuntu系统 1.创建Dockerfile #ubuntu:14.04 image FROM ubuntu:14.04 MAINTAINER XXX, xxx@xxx.com R ...

  8. install-newton部署安装--------控制节点

    #################################################################################################### ...

  9. 操作系统-I/O(2)设备的分配

    作业执行前对设备提出申请时,指定某台具体的物理设备会让设备分配变得简单,但如果所指定设备出现故障,即便计算机系统中有同类设备也不能运行 设备独立性:用户通常不指定物理设备,而是指定逻辑设备,使得用户作 ...

  10. MySQL引擎【转】

    数据库引擎介绍MySQL数据库引擎取决于MySQL在安装的时候是如何被编译的.要添加一个新的引擎,就必须重新编译MYSQL.在缺省情况下,MYSQL支持三个引擎:ISAM.MYISAM和HEAP.另外 ...