如何处理网站的跨站脚本和SQL注入攻击

1、防止CSRF，表单设置隐藏域，post一个随机字符串到后台，可以有效防止跨站请求伪造。文件上传，检查是否做好效验，要注意上传文件存储目录权限。防御SQL注入。

2、最有效的方法是使用参数化查询就能避免sql注入了，防止跨站的话可以使用微软白名单。或者关键字黑名单。

3、POST注入，通用防注入一般限制get，但是有时候不限制post或者限制的很少，这时候你就可以试下post注入，比如登录框、搜索框、投票框这类的。