请简述你对携程业务系统中常见的Web应用安全漏洞（如SQL注入、XSS）的理解，以及如何防范这些漏洞？

答题要点

可以使用STAR法则来回答，即描述问题场景（Situation）、任务（Task）、行动（Action）和结果（Result）。关键要点：1. SQL注入：攻击者通过在输入框中输入恶意的SQL代码来获取或篡改数据库数据。防范措施是使用参数化查询，避免直接拼接SQL语句。2. XSS：攻击者通过在网页中注入恶意脚本，当用户访问该页面时，脚本会在用户浏览器中执行。防范方法是对用户输入进行过滤和转义。3. 输入验证：对所有用户输入进行严格的验证，只允许合法的数据通过。示例思路：在携程的Web应用中，SQL注入和XSS是常见的安全漏洞。我们的任务是防范这些漏洞。对于SQL注入，我们采用参数化查询，确保用户输入不会影响SQL语句的结构。对于XSS，对用户输入进行过滤和转义。通过这些措施，有效降低了安全风险。