# Web 安全防护

保护应用免受常见攻击至关重要。

## OWASP Top 10

### 1. SQL 注入

使用参数化查询防止注入。

```javascript
// ❌ 危险
query(`SELECT * FROM users WHERE name = '${name}'`);

// ✅ 安全
query('SELECT * FROM users WHERE name = $1', [name]);
```

### 2. XSS 攻击

转义用户输入，使用 Content-Security-Policy。

### 3. CSRF 保护

实施同源策略和 CSRF Token。

### 4. 认证安全

- 使用 bcrypt 密码哈希
- 实施多因素认证 (MFA)
- JWT 短期有效 + Refresh Token

安全无小事，大家一起学习！