Web攻防是指针对网站或网络应用程序的攻击和防御。攻击者利用漏洞窃取数据、篡改内容或使服务不可用；防御者采取措施保护系统安全，防止攻击。

Web攻防是指网络攻击者利用Web应用程序的漏洞或缺陷，进行攻击或入侵的行为，以及防御者采取的各种措施来保护Web应用程序不受这些攻击的影响。

Web攻击

1、1 SQL注入：通过在输入框中插入恶意的SQL代码，使得攻击者可以获取数据库中的敏感信息或者对数据库进行操作。

1、2 跨站脚本攻击（XSS）：攻击者在网页中插入恶意脚本，当其他用户访问这个页面时，这些脚本会被执行，可能导致用户的敏感信息被窃取。

1、3 跨站请求伪造（CSRF）：攻击者诱导用户点击链接或者执行操作，从而在用户不知情的情况下以用户的身份执行某些操作。

Web防御

2、1 输入验证：对所有用户输入的数据进行验证，防止非法数据的输入。

2、2 输出编码：对输出的数据进行编码，防止恶意脚本的执行。

2、3 使用安全的会话管理：确保会话的安全性，防止会话被劫持。

2、4 错误处理：对错误进行适当的处理，避免泄露敏感信息。

2、5 使用最新的安全更新和补丁：定期更新系统和应用，修复已知的安全漏洞。

相关问题与解答

Q1: 什么是SQL注入？

A1: SQL注入是一种常见的网络攻击方式，攻击者通过在输入框中插入恶意的SQL代码，使得攻击者可以获取数据库中的敏感信息或者对数据库进行操作。

Q2: 如何防止SQL注入？

A2: 防止SQL注入的主要方法是对所有用户输入的数据进行验证，只接受预期的数据类型和格式，还可以使用参数化查询或者预编译的SQL语句，避免直接拼接SQL语句。