web常见的的攻击方式有以下几种：

一、SQL注入攻击

1.登录：要求用户输入用户名和密码，生成的sql如：

SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;

2.攻击者在用户名字和密码输入框中输入'或'1'='1之类的内容，生成的sql如：

SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'；

这样就可以很轻松的绕过用户名和密码登陆

防范方法：

1.检查变量数据类型和格式

2.过滤特殊符号

3.绑定变量，使用预编译语句

二、跨网站脚本攻击(Cross Site Scripting, XSS)

攻击者将恶意代码注入到网页上，用户在加载网页时就会执行代码。

常用的攻击手段有：

1. 盗用cookie，获取敏感信息；

2. 利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的如发微博、加好友、发私信等操作；

3. 利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动；

4. 在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDoS攻击的效果。

防范方法：使用htmlspecialchars函数将特殊字符转换成HTML编码，过滤输出的变量

三、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)

攻击者伪造目标用户的HTTP请求，然后此请求发送到有CSRF漏洞的网站，网站执行此请求后，引发跨站请求伪造攻击。

攻击者利用隐蔽的HTTP连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法权限，所以目标用户能够在网站内执行特定的HTTP链接，从而达到攻击者的目的。

它与XSS的攻击方法不同，XSS利用漏洞影响站点内的用户，攻击目标是同一站点内的用户者。

而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。

举个例子：

在某个购物网站购买商品时，采用http://www.shop.com/buy.php?item=watch&num=100，item参数确定要购买什么物品，num参数确定要购买数量。

如果攻击者以隐藏的方式发送给目标用户链接，那么如果目标用户不小心访问以后，购买的数量就成了100个

防范方法：

1、检查网页的来源

2、检查内置的隐藏变量

3、使用POST，不要使用GET，处理变量也不要直接使用$_REQUEST

四、Session固定攻击(Session Fixation)

这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session id来访问被攻击的应用程序。

一旦用户的会话ID被成功固定，攻击者就可以通过此session id来冒充用户访问应用程序。

举个例子：

1.攻击者访问网站http:///www.bank.com，获取他自己的session id，如：SID=123；

2.攻击者给目标用户发送链接，并带上自己的session id，如：http:///www.bank.com/?SID=123；

3.用户点击了http:///www.bank.com/?SID=123，像往常一样，输入自己的用户名、密码登录到网站；

4.由于服务器的session id不改变，现在攻击者点击http:///www.bank.com/?SID=123，他就拥有了目标用户的身份，可以为所欲为了。

防范方法：

1.定期更改session id

2.更改session的名称

session的默认名称是PHPSESSID，此变量会保存在cookie中，如果攻击者不抓包分析，就不能猜到这个名称，阻挡部分攻击

3.关闭透明化session id

4.设置HttpOnly。通过设置Cookie的HttpOnly为true，可以防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。

五、文件上传漏洞攻击(File Upload Attack)

文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。　　

常用的攻击手段有：　　

1. 上传Web脚本代码，Web容器解释执行上传的恶意脚本；　　

2. 上传Flash跨域策略文件crossdomain.xml，修改访问权限(其他策略文件利用方式类似)；　　

3. 上传病毒、木马文件，诱骗用户和管理员下载执行；　　

4. 上传包含脚本的图片，某些浏览器的低级版本会执行该脚本，用于钓鱼和欺诈。总的来说，利用的上传文件要么具备可执行能力(恶意代码)，要么具备影响服务器行为的能力(配置文件)。　　

防范方法：　　

1.文件上传的目录设置为不可执行；　　

2.判断文件类型，设置白名单。对于图片的处理，可以使用压缩函数或者resize函数，在处理图片的同时破坏图片中可能包含的HTML代码；　　

3.使用随机数改写文件名和文件路径：一个是上传后无法访问；再来就是像shell.php.rar和crossdomain.xml这种文件，都将因为重命名而无法攻击；　　

4.单独设置文件服务器的域名：由于浏览器同源策略的关系，一系列客户端攻击将失效，比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。