預(yù)編譯不是萬能的，否則就不會出現(xiàn)這么多的SQL注入漏洞。order by后面的語句，是不能夠用預(yù)編譯進(jìn)行處理的，只能通過拼接進(jìn)行操作，因此需要手動過濾。

SQL注入漏洞的防范方法：

1、預(yù)編譯

2、類型轉(zhuǎn)換

xss漏洞的危害：

竊取Cookie，鍵盤記錄，截屏，網(wǎng)頁掛馬，命令執(zhí)行

xss漏洞產(chǎn)生的原因：

用戶的輸入沒有經(jīng)過處理便直接進(jìn)行了輸出

目錄穿越漏洞簡介

Web應(yīng)用程序沒有去檢驗(yàn)文件名中是否存在“…/”等特殊字符，沒有對訪問的文件進(jìn)行限制，導(dǎo)致目錄穿越，讀取到本不應(yīng)讀取到的內(nèi)容

目錄穿越漏洞的修復(fù)方法

對文件名進(jìn)行過濾，防止出現(xiàn)“./”等特殊符號；采用ID索引的方法來下載文件，而不是直接通過文件名；對目錄進(jìn)行限制；合理配置權(quán)限

URL跳轉(zhuǎn)漏洞簡介