web攻击1.注入攻击系统命令注入SQL注入NoSQL注入ORM注入sql注入攻击原理：在编写SQL语句时，如果直接将用户传入的数据作为参数使用字符串拼接的方式插入到SQL查询攻击示例

#后端接口代码如下

app.route(/students)defbobby_table():password=request.args.get(password)cur=db.execute("select*fromstudentswherepassword=%s;%password")result=cur.fetchall()returnresults#前端输入“or1=1--”数据库就被脱裤了，甚至更糟糕可能删除数据库注入攻击防范方法使用ORM可以一定程度上避免SQL注入问题增加验证输入类型参数化查询，避免拼接字符串或者字符串格式化转义特殊字符2.XSS攻击（Cross-SiteScripting，跨站脚本）1.反射型攻击

攻击原理：攻击会通过URL注入攻击脚本，只有当用户访问这个URL时才会执行攻击脚本

攻击示例

#后端接口代码如下

app.route(/hello)defhello():name=request.args.get(name)response=h1Hello,%s!/h1%name#前端访问链接