CSRF攻击：跨站请愿仿造攻击 ，CSRF全名是Cross-site request forgery，是一种对网站的恶意应用，CSRF比XSS更具危险性

攻击者一般会采用吸引人的图片去率领用户点击进去他设定好的全套，然后你刚登录的A网站没有关闭，这时候攻击者会应用JS事件去模仿用户请愿A网站信息，从而就得到了目标。

预防举措：为表单提交都加上自己定义好的token然后加密好，后台也一样的条例然落后行对比。

XSS攻击：跨站脚本攻击，XSS攻击是Web攻击中最常见的攻击想法之一，它是通过对网页注入可执行代码且胜利地被阅读器执行，到达攻击的目标，形成了一次有效XSS攻击，一旦攻击胜利，它可以获取用户的接洽人列表，然后向接洽人发送虚假诈骗信息，可以删除用户的日志等等，有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼，它带来的危害是庞大的，是eb安全的头号大敌。

攻击者一般通过script标签对网站注入一些可执行的代码，这样就可以很轻松的获取到用户的一些信息。预防举措：strip_tags() 函数,过滤掉输入、输出里面的恶意标签和采用entities()函数把标签字符串转换成实体。

可以应用下面的这些函数对显露的xss破绽的参数进行过滤；

1. specialchars()函数，用于转义处置在页面上显示的文本；

3. entities()函数，用于转义处置在页面上显示的文本；

5. strip_tags()函数，过滤掉输入，输出里面的标签；

7. header()函数，采用header(Content-typeapplicationjson);

9. urlencode()函数，用于输出处置字符型参数带入页面链接中。

11. inval()函数用于处置数值型参数输出页面中。

12. SQL注入：就是通过把SQL号召插入到Web表单提交或输入域名或页面请愿的查询字符串，终极到达诱骗服务器执行恶意的SQL号召。

    上图由于没有做预防举措所以导致直接登录胜利！！

    结算：

    1、对用户输入的内容要时刻维持警觉。

    2、只有客户端的验证等于没有验证。

    3、永远不要把服务器过错信息暴露给用户

    预防举措：把一些sql语句进行过滤，比如delete update insert select * 或者采用PDO占位符进行转义。

    DDOS流量攻击：

    攻击者通过破绽往网页进行病毒木马的注入，一旦中了招，就胜利成为肉鸡。

    最常见的攻击其中有一种SYN攻击，它应用tcp协议往服务器发送大批的半连接请愿，当半连接队列到达最大值的时候，正常的数据包会被服务器丢弃，最后你网站可能一分钟不到就不不开了。

    预防举措：

    1. 正确设置防火墙

    3. 制止对主机的非开放服务的拜访

    5. 限制特定IP地址的拜访

    7. 启用防火墙的防DDoS的属性

    9. 严格限制对外开放的服务器的向外拜访

    11. 运行端口映射程序祸端口扫描程序，要勤恳查验特权端口和非特权端口。过滤没必须的服务和端口、定期扫描破绽进行处置、应用路由器进行防护（路由器死掉后重启一下即可不会阴碍服务器）或者网路没有瘫痪的场合下，可以查一下攻击起源，然后临时把这些IP过滤一下