網(wǎng)絡(luò)安全管理員練習題庫及答案

網(wǎng)絡(luò)安全管理員練習題庫及答案一、單選題（共70題，每題1分，共70分）1、WAF的防護采用黑名單機制，過濾了php，可通過(____)方法繞過。A、雙寫phphppB、大小寫交替C、添加空格D、使用字符編碼正確答案：B2、網(wǎng)絡(luò)安全是一個龐大而復(fù)雜的體系，防火墻提供了基本的(____)，但是一個不斷完善的系統(tǒng)卻需要借助于審計系統(tǒng)，這樣才能找到一種動態(tài)的平衡。A、安全規(guī)劃B、安全策略C、安全保時D、安全防護正確答案：D3、以下(____)不屬于防止口令猜測的措施。A、嚴格限定從一個給定的終端進行非法認證的次數(shù)B、確?？诹畈辉诮K端上再現(xiàn)C、防止用戶使用太短的口令D、使用機器產(chǎn)生的口令正確答案：B4、網(wǎng)絡(luò)病毒預(yù)防范階段的主要措施是(____)。A、強制補丁、入侵檢測系統(tǒng)監(jiān)控B、防火墻策略C、強制補丁、網(wǎng)絡(luò)異常流量的發(fā)現(xiàn)D、網(wǎng)絡(luò)異常流量的發(fā)現(xiàn)、入侵檢測系統(tǒng)的監(jiān)控正確答案：C5、DDOS攻擊是利用(____)進行攻擊。A、其他網(wǎng)絡(luò)B、通訊握手過程問題C、中間代理D、DNS放大正確答案：C6、查看思科防火墻CPU負載的命令是(____)。A、showcpuB、showcpuproC、showcpuusageD、top正確答案：C7、以下操作對于防護XSS跨站腳本漏洞不正確的是(____)。A、過濾參數(shù)中的特殊字符，如“'、"、<、>”等4個字符B、使用Web應(yīng)用防火墻C、只過濾參數(shù)中的<script>標簽就能完美防護了D、對提交的參數(shù)進行HTML編碼轉(zhuǎn)義正確答案：C8、在以下認證方式中，最常用的認證方式是：A、基于摘要算法認證;B、基于數(shù)據(jù)庫認證C、基于賬戶名／口令認證D、基于PKI認證;正確答案：C9、防火墻地址翻譯的主要作用是(____)。A、隱藏內(nèi)部網(wǎng)絡(luò)地址B、防止病毒入侵C、進行入侵檢測D、提供應(yīng)用代理服務(wù)正確答案：A10、下列不屬于數(shù)據(jù)庫備份方式的是(____)。A、差異備份B、事務(wù)日志備份C、部分備份D、完全備份正確答案：A11、下面(____)控制模型是基于安全標簽實現(xiàn)的。A、自主訪問控制B、強制訪問控制C、基于規(guī)則的訪問控制D、基于身份的訪問控制正確答案：B12、下面(____)情景屬于身份驗證(Authentication)過程。A、用戶依照系統(tǒng)提示輸入用戶名和口令B、用戶在網(wǎng)絡(luò)上共享了自己編寫的一份Office文檔，并設(shè)定哪些用戶可以閱讀，哪些用戶可以修改C、用戶使用加密軟件對自己編寫的Office文檔進行加密，以阻止其他人得到這份拷貝后看到文檔中的內(nèi)容D、某個人嘗試登錄到你的計算機中，但是口令輸入的不對，系統(tǒng)提示口令錯誤，并將這次失敗的登錄過程紀錄在系統(tǒng)日志中正確答案：A13、以下(____)不屬于unix日志。A、SecEvent.EvtB、utmpC、lastlogD、wtmp正確答案：A14、下列(____)是預(yù)防CC攻擊的有效手段。A、刪除可能存在CC攻擊的頁面B、提高服務(wù)器性能C、限制單個IP地址每秒訪問服務(wù)器的次數(shù)D、使用IDS設(shè)備正確答案：C15、網(wǎng)絡(luò)安全是一個龐大而復(fù)雜的體系,防火墻提供了基本的(____),但是一個不斷完善的系統(tǒng)卻需要借助于審計系統(tǒng),這樣才能找到一種動態(tài)的平衡。A、安全策略B、安全防護C、安全保時D、安全規(guī)劃正確答案：B16、通過以下(____)方法可最為有效地避免在中括號參數(shù)處產(chǎn)生SQL注入：select*fromuserswhereage<[18]andmale=1;。A、過濾輸入中的單引號B、過濾輸入中的分號、--及#C、過濾輸入中的空格、TAB(\t)D、如輸入?yún)?shù)非正整數(shù)則認為非法，不再進行SQL查詢正確答案：D17、如果企業(yè)內(nèi)部開放HTTP服務(wù)，允許外部主動訪問，那么防火墻通過(____)允許外部主動發(fā)起的訪問流量。A、使用狀態(tài)監(jiān)控放行B、使用sysopt放行C、使用HTTP命令放行D、使用ACL明確放行正確答案：D18、以下(____)是需要在信息安全策略中進行描述的A、信息安全工作的基本原則B、組織信息安全實施手段答案C、組織信息安全技術(shù)參數(shù)D、組織信息系統(tǒng)安全架構(gòu)正確答案：A19、關(guān)于XSS的說法以下(____)是正確的。A、XSS全稱為CascadingStyleSheetB、通過XSS無法修改顯示的頁面內(nèi)容C、通過XSS有可能取得被攻擊客戶端的CookieD、XSS是一種利用客戶端漏洞實施的攻擊正確答案：C20、下列哪個版本的Windows自帶了防火墻，該防火墻能夠監(jiān)控和限制用戶計算機的網(wǎng)絡(luò)通信(____)。A、Windows2000B、WindowsMEC、Windows98D、Windowsxp正確答案：D21、防火墻技術(shù)是一種(____)安全模型。A、被動式B、主動式C、混合式D、自主式正確答案：A22、權(quán)限及口令管理中，密碼設(shè)置應(yīng)具有一定強度、長度和復(fù)雜度并定期更換，要求(____)。A、長度不得小于6位字符串，且要求是字母和數(shù)字或特殊字符的混合B、長度不得小于8位字符串，但不要求是字母和數(shù)字或特殊字符的混合C、長度不得大于8位字符串，且要求是字母和數(shù)字或特殊字符的混合D、長度不得小于8位字符串，且要求是字母和數(shù)字或特殊字符的混合正確答案：D23、以下(____)不屬于敏感性標識。A、電子標簽B、個人簽名C、不干貼方式D、印章方式正確答案：B24、在下列日志管理命令中，我們將日志信息寫入VTY的方式是(____)。A、Router(config)#loggingbufferedB、Router(config)#logginghostC、Router(config)#terminalmonitorD、Router(config)#loggingon正確答案：C25、有關(guān)Mysqldump備份特性中(____)是不正確的。A、是邏輯備份，需將表結(jié)構(gòu)和數(shù)據(jù)轉(zhuǎn)換成SQL語句B、mysql服務(wù)必須運行C、備份與恢復(fù)速度比物理備份快D、支持MySQL所有存儲引擎正確答案：C26、一般而言，Internet防火墻建立在一個網(wǎng)絡(luò)的(____)。A、每個子網(wǎng)的內(nèi)部B、部分內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點C、內(nèi)部子網(wǎng)之間傳送信息的中樞D、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點正確答案：D27、下列關(guān)于計算機木馬的說法錯誤的是(____)。A、word文檔也會感染木馬B、盡量訪問知名網(wǎng)站能減少感染木馬的概率C、只要不訪問互聯(lián)網(wǎng)，就能避免受到木馬侵害D、殺毒軟件對防止木馬病毒泛濫具有重要作用正確答案：C28、在信息安全策略體系中，下面(____)屬于計算機或信息安全的強制性規(guī)則。A、標準（Standard）B、方針（Guideline）C、流程（Procedure）D、安全策略（Securitypolicy）正確答案：A29、應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組主要職責包括(____)。A、對應(yīng)急響應(yīng)工作的承諾和支持，包括發(fā)布正式文件、提供必要資源（人財物）等B、負責組織的外部協(xié)作工作C、審核并批準應(yīng)急響應(yīng)計劃D、組織應(yīng)急響應(yīng)計劃演練正確答案：D30、Linux系統(tǒng)中常用數(shù)字來表示文件的訪問權(quán)限，假設(shè)某文件的訪問限制使用了755來表示，則下面正確的是(____)。A、這個文件可以被任何用戶讀和寫B(tài)、這個可以被任何用戶讀和執(zhí)行C、這個文件可以被任何用戶寫和執(zhí)行D、這個文件不可以被所有用戶寫和執(zhí)行正確答案：B31、下列屬于防火墻功能的是(____)。A、識別DNS服務(wù)器B、維護路由信息表C、提供個對稱加密服務(wù)D、包過濾正確答案：D32、以保證對外發(fā)布的網(wǎng)站不被惡意篡改或植入木馬，可采用(____)安全防護措施。A、網(wǎng)頁防篡改B、數(shù)據(jù)加密C、設(shè)置權(quán)限D(zhuǎn)、信息過濾正確答案：A33、應(yīng)用網(wǎng)關(guān)防火墻在物理形式上表現(xiàn)是(____)。A、網(wǎng)關(guān)B、交換機C、路由D、堡壘主機正確答案：D34、對于新增或變更（型號）的自助繳費終端、視頻監(jiān)控等各類設(shè)備(____)方可接入信息內(nèi)外網(wǎng)。A、安全測評合格后B、專家評審后C、審批通過后D、檢驗合格后正確答案：A35、利用下列哪種漏洞可以竊取其他用戶的cookie信息(____)。A、sql注入B、文件包含C、目錄遍歷D、xss正確答案：D36、不屬于病毒的反靜態(tài)反匯編技術(shù)有(____)。A、數(shù)據(jù)壓縮B、進程注入C、數(shù)據(jù)加密D、感染代碼正確答案：B37、為了保護DNS的區(qū)域傳送（zonetransfer），你應(yīng)該配置防火墻以阻止：1.UDP，2.TCP，3.53,4.52中的(____)。A、1,3B、2,3C、1,4D、2,4正確答案：B38、假設(shè)使用一種密碼學，它的加密方法很簡單：將每一個字母加8，即a加密成f。這種算法的密鑰就是8，那么它屬于(____)。A、對稱加密技術(shù)B、單向函數(shù)密碼技術(shù)C、公鑰加密技術(shù)D、分組密碼技術(shù)正確答案：A39、以下(____)不屬于惡意代碼。A、蠕蟲B、特洛伊木馬C、宏D、病毒正確答案：C40、文件被感染病毒之后，其基本特征是(____)。A、文件長度變短B、文件長度加長C、文件照常能執(zhí)行D、文件不能被執(zhí)行正確答案：B41、針對用戶輸入內(nèi)容直接輸出到網(wǎng)頁上的過濾方法無效的是(____)。A、過濾alertB、過濾雙引號C、過濾scriptD、過濾尖括號正確答案：B42、公司apache服務(wù)器遭到黑客爆破攻擊。技術(shù)人員可以通過查看access.log文件尋找黑客的IP，如果想要查看頁面訪問排名前十的IP，命令是(____)。A、cataccess.log|sort-k2-n-r|head10B、cataccess.log|grepip|sort|uniq-c|sort-k1-r|head-10C、cataccess.log|cut-f1-d""|sort|uniq-c|sort-k1-r|head-10D、cataccess.log|cut-f4-d""|sort|uniq-c|sort-k1-r|head-10正確答案：C43、監(jiān)測網(wǎng)路中域名能否正常解析的命令是(____)。A、nslookupB、named-checkconfC、checkdnsD、named-checkzone正確答案：A44、為增強Web應(yīng)用程序的安全性，某軟件開發(fā)經(jīng)理決定加強Web軟件安全開發(fā)培訓，下面(____)不在考慮范圍內(nèi)。A、關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識的培訓B、對OpenSSL心臟出血漏洞方面安全知識的培訓C、針對SQL注入漏洞的安全編程培訓D、關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識的培訓正確答案：D45、以下關(guān)于防火墻技術(shù)的描述，(____)錯誤的。A、防火墻可以控制外部用戶對內(nèi)部系統(tǒng)的訪問B、防火墻是用來阻止內(nèi)部人員對外部攻擊的C、防火墻分為數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)兩類D、防火墻可以分析網(wǎng)絡(luò)會話情況正確答案：B46、某個網(wǎng)站部分代碼為：<?phpecho'Hello'.$_GET['name'].'</pre>';?>，該寫法存在(____)漏洞。A、XSS漏洞B、文件上傳漏洞C、任意文件讀取漏洞D、SQL注入漏洞正確答案：A47、以下(____)是等級保護工作的核心環(huán)節(jié)和關(guān)鍵所在。A、建設(shè)整改B、定級備案C、監(jiān)督檢查D、等級測評正確答案：A48、關(guān)于“屏幕鍵盤”后門，以下說法正確的是(____)。A、替換c:\windows\system32\osks.exe文件B、通過鍵盤的“Win+P”組合鍵激活C、通過鍵盤的“Win+Q”組合鍵激活D、替換c:\windows\system32\dllcache\osk.exe文件正確答案：D49、跨站腳本攻擊是一種常見的web攻擊方式，下列不屬于跨站腳本攻擊危害的是(____)。A、竊取用戶CookieB、強制彈出廣告頁面C、進行基于大量的客戶端攻擊，如DDOS攻擊D、上傳腳本文件正確答案：D50、華三防火墻設(shè)備高級ACL的編號范圍是(____)。A、200-299B、300-399C、2000-2999D、3000-3999正確答案：D51、下列(____)設(shè)備可以實時監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流。A、基于網(wǎng)絡(luò)的IDSB、基于主機的IDSC、基于應(yīng)用的IDSD、基于防火墻的IDS正確答案：A52、以下(____)不是流氓軟件的特征。A、通常通過誘騙或和其他軟件捆綁在用戶不知情的情況下安裝B、通常添加驅(qū)動保護使用戶難以卸載C、通常會顯示下流的言論D、通常會啟動無用的程序浪費計算機的資源正確答案：C53、信息系統(tǒng)的過期賬號及其權(quán)限應(yīng)及時注銷或(____)。A、調(diào)整B、更新C、刪除D、變更正確答案：A54、下列關(guān)于web應(yīng)用說法不正確的是(____)。A、web的認證信息可以考慮通過cookie來攜帶B、web的認證，通過cookie和session都可以實現(xiàn)，但是cookie安全性更好C、http請求中，cookie可以用來保持http會話狀態(tài)D、通過SSL安全套階層協(xié)議，可以實現(xiàn)http的安全傳輸正確答案：B55、DES算法中對于每個明文分組的加密過程按照如下順序進行(____)。A、16輪循環(huán)運算.初始置換.終結(jié)置換B、初始置換.終結(jié)置換.16輪循環(huán)運算C、初始置換.16輪循環(huán)運算.終結(jié)運算D、16輪循環(huán)運算.終結(jié)置換.初始置換正確答案：C56、WAF中沒有開啟自動阻斷'惡意掃描'策略，會對系統(tǒng)造成(____)危害。A、設(shè)備損耗B、病毒破壞C、信息泄露D、拒絕服務(wù)攻擊正確答案：C57、對于一個站點是否存在SQL注入的判斷，不正確的是(____)。A、可以直接修改參數(shù)的具體數(shù)據(jù)，修改參數(shù)值為一個不存在的數(shù)值來判斷B、可以使用單引號查詢來判斷C、可以使用“or1=1”方法來判斷D、可以使用在參數(shù)后面加入一些特殊字符來判斷正確答案：A58、用戶收到了一封可疑的電子郵件,要求用戶提供銀行賬戶及密碼,這是屬于(____)攻擊手段。A、緩存溢出攻擊B、DDoS攻擊C、暗門攻擊D、釣魚攻擊正確答案：D59、終端啟動客戶端連接網(wǎng)關(guān)，但網(wǎng)關(guān)日志usap.log沒有任何新的信息，可能原因不包括(____)。A、網(wǎng)關(guān)程序沒有啟動B、終端配置的網(wǎng)關(guān)地址錯誤C、網(wǎng)絡(luò)異常，終端無法連接到網(wǎng)關(guān)D、終端TF卡沒有導(dǎo)入證書正確答案：D60、下列(____)不屬于XSS跨站腳本漏洞危害。A、身份盜用B、網(wǎng)站掛馬C、釣魚欺騙D、SQL數(shù)據(jù)泄露正確答案：D61、Apache服務(wù)器中的訪問日志文件的文件名稱是(____)。A、error_logB、access_logC、error.logD、ccess.log正確答案：B62、關(guān)于注入攻擊，下列說法不正確的是(____)。A、注入攻擊發(fā)生在當不可信的數(shù)據(jù)作為命令或者查詢語句的一部分，被發(fā)送給解釋器的時候。攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器，以執(zhí)行計劃外的命令或者訪問未被授權(quán)的數(shù)據(jù)B、常見的注入攻擊有SQL注入,OS命令注入、LDAP注入以及xpath等C、SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令，從而得到黑客所需的信息D、SQL注入主要針對數(shù)據(jù)庫類型為MSSQLserver和MySQL，采用oracle數(shù)據(jù)庫，可以有效減少SQL注入威脅正確答案：D63、默認情況下，防火墻對抵達防火墻接口的流量控制方法是(____)。A、對抵達流量不做控制B、deny抵達的流量C、監(jiān)控抵達流量D、交由admin墻處理正確答案：A64、下面(____)不是對點擊劫持的描述。A、是一種惡意攻擊技術(shù)，用于跟蹤網(wǎng)絡(luò)用戶并獲取私密信息B、通過讓用戶來點擊看似正常的網(wǎng)頁來遠程控制其電腦C、可以用嵌入代碼或文本的形式出現(xiàn)，在用戶毫不知情的情況下完成攻擊D、導(dǎo)致對方網(wǎng)絡(luò)癱瘓正確答案：D65、永恒之藍病毒針對主機(____)端口。A、139及435B、139及445C、138及445D、138及435正確答案：B66、擬態(tài)防御主要應(yīng)對(____)。A、社會工程學攻擊B、已知漏洞C、未知威脅D、勒索病毒正確答案：C67、下列(____)能夠監(jiān)控網(wǎng)絡(luò)流量中的行為特征，并能夠創(chuàng)建新的數(shù)據(jù)庫。A、基于特征的IDSB、基于神經(jīng)網(wǎng)絡(luò)的IDSC、基于統(tǒng)計的IDSD、基于主機的IDS正確答案：B68、數(shù)據(jù)庫管理系統(tǒng)DBMS主要由(____)兩大部分組成。A、文件管理器和查詢處理器B、事務(wù)處理器和存儲管理器C、存儲管理器和查詢處理器D、文件管理器和存儲管理器正確答案：C69、在Windows平臺下的Weblogic9.X服務(wù)器中，Weblogic的日志缺省存放在(____)。A、<域目錄>\SERVERS\LOGSB、<域目錄>\SERVERS\<節(jié)點服務(wù)器名>\LOGSC、<域目錄>\LOGSD、<域目錄>\<節(jié)點服務(wù)器名>\SERVERS\LOGS正確答案：B70、防火墻截斷內(nèi)網(wǎng)主機與外網(wǎng)通信，由防火墻本身完成與外網(wǎng)主機通信，然后把結(jié)果傳回給內(nèi)網(wǎng)主機，這種技術(shù)稱為(____)。A、內(nèi)容中轉(zhuǎn)B、透明代理C、地址轉(zhuǎn)換D、內(nèi)容過濾正確答案：B二、多選題（共20題，每題1分，共20分）1、以下關(guān)于SYNFlooD和SYNCookie技術(shù)的說法是不正確的是(____)。A、SYNFlooD攻擊主要是通過發(fā)送超大流量的數(shù)據(jù)包來堵塞網(wǎng)絡(luò)帶寬B、SYNCookie技術(shù)的原理是通過SYNCookie網(wǎng)關(guān)設(shè)備拆分TCP三次握手過程，計算每個TCP連接的Cookie值，對該連接進行驗證C、SYNCookie技術(shù)在超大流量攻擊的情況下可能會導(dǎo)致網(wǎng)關(guān)設(shè)備由于進行大量的計算而失效D、Cookie記錄會話信息正確答案：AD2、以下(____)關(guān)于安全審計和安全審計系統(tǒng)的描述是正確的。A、安全審計系統(tǒng)可提供偵破輔助和取證功能B、對入侵和攻擊行為只能起到威懾作用C、安全審計是對系統(tǒng)記錄和活動的獨立審查和檢驗D、安全審計不能有助于提高系統(tǒng)的抗抵賴性正確答案：AC3、物聯(lián)網(wǎng)終端在接入公司管理信息大區(qū)時，應(yīng)采用(____)安全措施。A、采用虛擬專用線路通道B、采用互聯(lián)網(wǎng)通道C、采用專線通道D、采用加密認證措施正確答案：ACD4、以下(____)技術(shù)，可以增加木馬的存活性。A、拒絕服務(wù)攻擊技術(shù)B、進程注入技術(shù)C、端口復(fù)用技術(shù)D、三線程技術(shù)正確答案：ABCD5、入侵檢測系統(tǒng)的主要功能包括(____)等。A、識別已知的攻擊行為E.追蹤異常行為用戶B、監(jiān)測并分析用戶和系統(tǒng)的活動C、評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性D、核查系統(tǒng)配置和漏洞正確答案：ABCD6、繞過sql注入(<,>,=)比較運算符號被過濾的方法有使用(____)字符。A、betweenB、likeC、strcmpD、in正確答案：ABCD7、下面關(guān)于防火墻的說法，不正確的是(____)。A、任何防火墻都能準確地檢測出攻擊來自哪一臺計算機B、防火墻可以取代反病毒系統(tǒng)C、防火墻能夠很好地解決內(nèi)網(wǎng)網(wǎng)絡(luò)攻擊的問題D、防火墻可以防止把網(wǎng)外未經(jīng)授權(quán)的信息發(fā)送到內(nèi)網(wǎng)正確答案：ABC8、國家實行網(wǎng)絡(luò)安全等級保護制度標準。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度標準要求，履行(____)安全義務(wù)。A、防止登錄弱口令B、保障網(wǎng)絡(luò)免受干擾、破壞或者未授權(quán)的訪問C、防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者盜取、篡改D、保護電腦不被共計正確答案：BC9、防火墻的包過濾功能會檢查如下信息(____)。A、目標IP地址B、源端口C、源IP地址D、目標端口正確答案：ABCD10、防火墻的構(gòu)建要從(____)方面著手考慮。A、安全策略的設(shè)計B、體系結(jié)構(gòu)的設(shè)計C、安全策略的制訂D、體體系結(jié)構(gòu)的制訂系結(jié)構(gòu)的設(shè)計正確答案：BC11、Sqlserver2008提供的身份驗證模式有(____)。A、Windows身份驗證模式B、僅SQL身份驗證模式C、SQLServer和Windows身份驗證模式D、加密身份驗證模式正確答案：AC12、網(wǎng)絡(luò)性能指標中面向服務(wù)的有(____)。A、精確度B、響應(yīng)時間C、吞吐量D、可用性正確答案：ABD13、UNIX安全審計的主要技術(shù)手段有(____)。A、安全補丁審計B、文件完整性審計C、系統(tǒng)日志審計D、進程審計E、端口審計F、用戶、弱口令審計正確答案：ABCDEF14、Windows增加了日志文件的類型，通常有(____)。A、應(yīng)用程序日志B、安全日志C、系統(tǒng)日志D、DNS服務(wù)器日志正確答案：ABCD15、關(guān)于SQL注入攻擊的防御，可采取的措施有(____)。A、不要使用管理員權(quán)限的數(shù)據(jù)庫連接，為每個應(yīng)用使用單獨的權(quán)限有限的數(shù)據(jù)庫連接B、不要使用動態(tài)拼裝sql，可以使用參數(shù)化的sql或者直接使用存儲過程進行數(shù)據(jù)查詢存取C、不要把機密信息直接存放，加密或者hash掉密碼和敏感的信息D、對表單里的數(shù)據(jù)進行驗證與過濾，在實際開發(fā)過程中可以單獨列一個驗證函數(shù)，該函數(shù)把每個要過濾的關(guān)鍵詞如select,1=1等都列出來，然后每個表單提交時都調(diào)