探探路。 今天咱们聊聊网络平安这事儿。说实话，这玩意儿吧，就像个无底洞，永远也填不满。而且对于很多开发者平安意识往往是短板。他们忙着写代码、搞架构，平安问题常常被忽视。但现实是残酷的，不重视平安，就等于给自己埋雷！所以有没有什么好用的工具能帮我们一键开启平安防护呢？今天我就来试试腾讯云的 EdgeOne。

DVWA 环境搭建：先让靶场起来再说

为了测试 EdgeOne 的实际效果，我得先搭一个攻击环境。我选了 DVWA ， PTSD了... 一个专门用来练习 Web 平安漏洞的靶场。

php和MySQL准备好之后就要启动apache服务器。先说说需要完成站点配置，在网站菜单栏中选择添加站点，输入我之前在EdgeOne配置的域名。

登录admin账号，就进入到了DVWA的首页，拭目以待。。

初始化完成之后点击下面的login，跳转到登录页面。初始账号为：admin密码：password。 绝了... 在dvwa数据库中，通过下面sql可以修改密码。UPDATE users SET password=MD5 WHERE username='admin'; 配置文件中主要修改的是MySQL连接信息， 主要原因是DVWA靶场攻击有一些依赖于MySQL， 可不是吗！ 比方说SQL注入等。这里修改的是dbuser和dbpassword。mv dvwa /www/admin/_80/wwwroot，摸鱼。 产品名称 价格 特点 PhpStudy 免费 集成 Apache, MySQL, PHP 的一键部署工具，躺平。 XAMPP 免费 类似 PhpStudy, 支持多种操作系统 是个狼人。 SQL 注入：从简单到复杂 SQL 注入是 Web 平安中最常见的漏洞之一。 踩个点。 当我 请求，将会由边缘节点直接响应请求, 避免回源请求, 这部分就是上图中我们看到EdgeOne命中的响应流量。 一些随机图片 Low 等级下的轻松入侵 在 low 等级下, 输入 1' or 1=1# ，就能绕过身份验证！ 原理很简单：将原本的查询条件变成了永远成立的条件, 直接获取了所有用户信息！简单来说就是攻击者通过在用户输入中插入恶意的 SQL 代码来操纵数据库。在 DVWA 的 low 平安等级下, 防御非常薄弱。 SELECT firstname, lastname FROM users WHERE user_id = '1'; 我在上面对我的域名在EdgeOne开启了加速， 所以我在访问我的域名时EdgeOne 将会把响应的静态文件缓存在边缘节点中。