web server博客项目

  1. Node.js 从零开发 web server博客项目[项目介绍]
  2. Node.js 从零开发 web server博客项目[接口]
  3. Node.js 从零开发 web server博客项目[数据存储]
  4. Node.js 从零开发 web server博客项目[登录]
  5. Node.js 从零开发 web server博客项目[日志]
  6. Node.js 从零开发 web server博客项目[安全]
  7. Node.js 从零开发 web server博客项目[express重构博客项目]
  8. Node.js 从零开发 web server博客项目[koa2重构博客项目]
  9. Node.js 从零开发 web server博客项目[上线与配置]

  • SQL 注入: 窃取数据库内容

    • 最原始 , 最简单的攻击 , 从有了 web2.0 就有了 sql 注入攻击
    • 攻击方式 : 输入一个 sql 片段 最终拼接成一段攻击代码
      • select username, realname from users where username='zhangsan'-- 'and password='123'

        用户名:zhangsan'--空格

        此时只需要在浏览器端用用户名登录即可

        用户名:zhangsan';delete from users;--空格 这将删除数据库所有内容
    • 预防措施 : 使用一个 MySQL 的 escape 函数处理输入内容即可

      • 代码实现

controller/login.js

const { exec, escape } = require('../db/mysql')

const { genPassword } = require('../utils/cryp')

const login = (username, password) => {

    username = escape(username)

    password = escape(password)

    const sql = `

        select username, realname from users where username=${username} and password=${password}

    `

    ...

  • XSS 攻击 : 窃取前端的 cookie 内容

    • 攻击方式 : 在页面展示内容中参杂 js 代码 , 以获取网页信息
    • 在新建文档中的标题编辑及框中写入<script>alert(document.cookie)</script>
    • 预防措施 : 转换生成 js 的特殊字符
      • 在服务端中转译为&lt;scrit&gt;alert(document.cookie)&lt;/script&gt;

  • 密码加密 : 保障用户信息安全 ( 重要! )

    • 万一数据库被用户攻破 , 最不应该泄露的就是用户信息
    • 攻击方式 : 获取用户名和密码 , 再去尝试登录其他系统
    • 预防措施 : 将密码加密 , 即使拿到密码也不知道明文

      • 代码实现

        • 创建utils/crypto.js
const crypto = require('crypto');

// 密匙

const secret = 'abcdefg';

// sha256加密

function sha256(content) {

  return crypto.createHmac('sha256', secret)

    .update(content)

    .digest('hex');

}

// md5再次加密

function genPassword(password) {

  return crypto.createHash('md5', secret)

    .update(password)

    .digest('hex')

}

module.exports = {

  genPassword

}

  • 使用

ctroller/user.js

const { exec, escape } = require('../db/mysql')

const { genPassword } = require('../utils/cryp')

const login = (username, password) => {

    username = escape(username)

    // 生成加密密码

    password = genPassword(password)

    password = escape(password)

    const sql = `

        select username, realname from users where username=${username} and password=${password}

    `

    // console.log('sql is', sql)

    return exec(sql).then(rows => {

        return rows[0] || {}

    })

}

module.exports = {

    login

}

Node.js 从零开发 web server博客项目[安全]的更多相关文章

  1. Node.js 从零开发 web server博客项目[express重构博客项目]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  2. Node.js 从零开发 web server博客项目[数据存储]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  3. Node.js 从零开发 web server博客项目[koa2重构博客项目]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  4. Node.js 从零开发 web server博客项目[日志]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  5. Node.js 从零开发 web server博客项目[登录]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  6. Node.js 从零开发 web server博客项目[接口]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  7. Node.js 从零开发 web server博客项目[项目介绍]

    web server博客项目 Node.js 从零开发 web server博客项目[项目介绍] Node.js 从零开发 web server博客项目[接口] Node.js 从零开发 web se ...

  8. Vue+node.js实现一个简洁的个人博客系统

    本项目是一个用vue和node以及mysql实现的一个简单的个人博客系统,整体逻辑比较简单.但是可以我们完整的了解一个项目从数据库到后端到前端的实现过程,适合不太懂这一块的朋友们拿来练手. 本项目所用 ...

  9. github pages + Hexo + node.js 搭建属于自己的个人博客网站

     之前我写过一篇用Github实现个人主页的博客:https://www.cnblogs.com/tu-0718/p/8081288.html   后来看到某个大佬写的文章:[5分钟 0元搭建个人独立 ...

随机推荐

  1. 只要动手就能学到东西4 JSON.stringify

    今天在调试javascript时,需要将不可显示字符如\r\n在console显示出来,查了下,原来可以用JSON.stringify().这个方法以前也用过,但都是将javascript对象变成js ...

  2. Web安全攻防(简)学习笔记

    Web安全攻防-学习笔记 本文属于一种总结性的学习笔记,内容许多都早先发布独立的文章,可以通过分类标签进行查看 信息收集 信息收集是渗透测试全过程的第一步,针对渗透目标进行最大程度的信息收集,遵随&q ...

  3. Nginx和FastDfs完整配置过程

    借鉴(https://blog.csdn.net/qq_34301871/article/details/80060235) 1.unknown directive "ngx_fastdfs ...

  4. 手把手教Linux驱动3-之字符设备架构详解,有这篇就够了

    一.Linux设备分类 Linux系统为了管理方便,将设备分成三种基本类型: 字符设备 块设备 网络设备 字符设备: 字符(char)设备是个能够像字节流(类似文件)一样被访问的设备,由字符设备驱动程 ...

  5. 如何为指定python解释器安装pip

    有时候我们通常会有很多python解释器,例如python2.python3.python(Anaconda). 参考链接:https://www.cnblogs.com/michaelcjl/p/1 ...

  6. python列表元素的基本操作

    1.列表元素的增加 python提供三种方法增加元素,append,extend,insert. 区别:例  list3=[1,10,100,1000,10000] A.   list3.append ...

  7. php实现视频拍照上传头像功能实例代码

    如果要在php中实现视频拍照我们需要借助于flash插件了,由flash拍出的确照片我们再通过php的$GLOBALS ['HTTP_RAW_POST_DATA']接受数据,然后保存成图片就可以了,下 ...

  8. muduo源码解析8-date类

    date class date:copyable { }: 作用: 此类作用主要是实现年月日和julianDay的互相转换内部最重要的一个数据成员m_julianDayNumber在mymuduo:: ...

  9. [FJOI2020]染色图的联通性问题 题解

    FJOI2020 D1T2 题目大意 给出一个由 $n$ 个点 $m$ 条边构成的染色无向图,求删去每一个点及与其相连的边后图中不连通的同色点对数量.$n,m\leq 10^5$. 思路分析 可以想到 ...

  10. 跟我一起学.NetCore之日志作用域及第三方日志框架扩展

    前言 上一节对日志的部分核心类型进行简单的剖析,相信现在再使用日志的时候,应该大概知道怎么一回事了,比如记录器是怎么来的,是如何将日志内容写入到不同目的地的等:当然还有很多细节没深入讲解,抽时间小伙伴 ...