一、 SQL注入和XSS打概述

Web应用程序的平安性至关关键。因为网络打手段的不断演变，SQL注入和跨站脚本打成为了Web应用面临的两巨大基本上吓唬。

SQL注入打是指打者机制，直接与数据库进行交互，获取、修改或删除数据库中的数据。

XSS打则是打者通过在Web页面中注入恶意脚本， 当用户访问该页面时脚本会在用户的浏览器中施行，从而窃取用户的敏感信息，如Cookie、会话令牌等。

二、Web应用防火墙简介

Web应用防火墙是一种专门用于护着Web应用程序的平安设备或柔软件。它位于Web应用程序和客户端之间，对全部进出Web应用的HTTP/HTTPS流量进行实时监测和过滤。

WAF能通过许多种方式别让SQL注入打， 比方说对输入的参数进行过滤，检查参数中是不是包含恶意的SQL关键字。

三、 基于WAF别让SQL注入打

WAF能对输入的参数进行过滤，检查参数中是不是包含恶意的SQL关键字，如“SELECT”、“UPDATE”、“DELETE”等。

还有啊，WAF还能对求的来源进行琢磨，判断求是不是来自可信的IP地址。如果求来自不可信的IP地址，并且包含可疑的SQL代码，WAF能更严格地对该求进行检查和拦截。

四、 基于WAF别让XSS打

对于XSS打，WAF同样能采取许多种防护措施。WAF能对输入的HTML标签和JavaScript代码进行过滤，检查是不是包含恶意的脚本代码。

---