应用层漏洞实战防护：SQL 注入、XSS、文件上传漏洞一站式加固方案

SQL 注入防护

使用参数化查询或预编译语句替代字符串拼接。例如在Java中采用PreparedStatement，PHP中使用PDO绑定参数：

String sql = "SELECT * FROM users WHERE username = ?"; PreparedStatement stmt = connection.prepareStatement(sql); stmt.setString(1, userInput);

ORM框架如Hibernate、MyBatis等内置防注入机制。避免直接拼接SQL语句，特殊字符需转义处理，如MySQL的mysql_real_escape_string()。

最小权限原则配置数据库账户权限，禁止应用使用root账户。启用WAF规则过滤常见注入特征，如UNION SELECT、--等注释符。

XSS跨站脚本防护

输出数据时进行HTML实体编码，例如将<转为<。前端框架如React/Vue默认提供XSS防护，避免使用v-html或dangerouslySetInnerHTML。

设置HTTP头Content-Security-Policy限制脚本来源：

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com

表单提交启用验证码防止自动化攻击，Cookie标记HttpOnly和Secure属性。富文本场景使用白名单过滤标签，如DOMPurify库。

文件上传漏洞防护

限制上传文件扩展名至业务必需类型，如仅允许.jpg,.png。服务端校验文件头魔数而非扩展名，防止伪装攻击。

存储文件时重命名随机化，避免用户控制文件名。禁用上传目录的脚本执行权限，Nginx配置示例：

location ^~ /uploads/ { deny all; }

扫描上传文件内容是否包含恶意代码，病毒文件需隔离处理。云存储服务可启用对象版本控制与访问日志审计。

综合防护措施

定期更新应用框架与组件，修复已知漏洞。敏感操作记录详细日志，包括IP、时间戳和操作内容。

关键业务接口添加速率限制，防止暴力破解。生产环境关闭错误调试信息，避免泄露系统路径等敏感数据。

安全测试应覆盖DAST动态扫描与SAST代码审计，渗透测试模拟攻击验证防护有效性。建立应急响应流程，漏洞确认后72小时内完成修复。