网站被恶意攻击的几点思考

今天我的网站被恶意攻击了，总有些人不怀好心想整些事情，对于这些人我们呵呵一下就行了，不必太过计较。我们把自己的网站安全措施做的更好些，以免让某些小人得逞。

第一个是恶意评论，因为我的个人博客评论是开放的，因为没有评论节流措施而导致被疯狂评论。下面是截图，足足评论了七八页近一百条。

第二个是 SQL 注入攻击，从图中可以明显看出其中夹杂了删除 user 表的操作。

个人网站由于安全措施做的不到位很容易被攻击, 今天我遇到的还不算是特别麻烦的攻击, 再次提醒大家多注意网站安全问题！

这也提醒我们在后端设计接口时，尤其那些公开的接口，一定要有限流措施，否则被恶意用户拿到接口疯狂调用，那服务器可能就要蹦掉了。SQL 注入是常见的攻击手段，一般后端开发框架会做处理，拦截一些恶意 SQL，但有些是拦不掉的，比如直接使用字符串拼接的有参 SQL，直接拼接的 SQL 框架不会检查而直接执行！在直接使用 JDBC 执行 SQL 时往往不推荐使用 Statement，而是用 PrepareStatement，这个原因也是在防御 SQL 注入攻击。

关于恶意评论我实在不想看到，我可能要把公开评论关了，评论在我后台设置公开后大家才能看到，大家的评论我会在后台及时回复通过。