常見的網站安全攻擊包括但不限于以下幾種：

1. SQL注入攻擊：通過在輸入字段中注入惡意的SQL語句，攻擊者可以訪問、修改、刪除或者篡改數據庫中的數據。 防御策略：使用參數化查詢和準備語句，過濾和驗證用戶輸入，限制數據庫用戶權限，以及定期更新和修復數據庫軟件等。

2. 跨站腳本攻擊（XSS）：攻擊者通過將惡意腳本注入到網站的輸出內容中，使得其他用戶在瀏覽網站時執行這些腳本，從而竊取用戶信息或者執行其他惡意操作。 防御策略：對用戶輸入進行過濾，使用內容安全策略（CSP）配置白名單，對特殊字符進行編碼或過濾以防止腳本注入，以及在網站開發中使用安全編碼標準。

3. 跨站請求偽造（CSRF）攻擊：攻擊者利用用戶登錄狀態下的信任，通過誘導用戶訪問惡意網站來執行惡意操作。 防御策略：在關鍵操作中使用驗證碼或二次確認，使用同源檢測，為每個用戶生成一個隨機的令牌（CSRF Token）進行請求驗證，并在Cookie中設置SameSite屬性為Strict或Lax。

4. 代碼注入攻擊：攻擊者通過將惡意代碼注入到應用程序執行環境中，從而達到執行任意代碼、拒絕服務或者獲取敏感信息的目的。 防御策略：對用戶輸入和外部數據進行驗證和過濾，嚴格限制文件上傳的類型和大小，避免使用動態執行代碼的函數和語句，以及保持系統軟件和框架的更新。

5. 會話劫持和會話固定攻擊：攻擊者獲取合法用戶的會話憑證，從而可以冒充用戶進行惡意操作。 防御策略：使用加密的會話憑證，限制會話的生命周期，定期更換會話ID，使用HTTPS協議進行通信，以及提供用戶可見的安全提醒。

除了上述攻擊，還有DDoS攻擊、網站木馬、目錄遍歷攻擊等其他常見的網站安全問題。

針對這些攻擊，常見的防御策略包括：

• 使用防火墻、入侵檢測系統（IDS）和入侵防御系統（IPS）等網絡安全設備進行實時監控和防護。

• 定期更新和修補操作系統、服務器軟件和應用程序等，及時修復已知的漏洞。

• 使用強密碼策略，對用戶密碼進行加密保存，并設置賬戶鎖定機制。

• 對敏感數據進行加密存儲和傳輸，合理使用HTTPS協議。

• 使用安全編碼標準和最佳實踐，對所有輸入進行過濾和驗證。

• 對用戶身份認證和授權進行嚴格的驗證和限制，如使用多因素認證等。

• 定期備份數據，并進行災難恢復和業務恢復測試。

• 對員工進行網絡安全教育和培訓，提高安全意識和防范能力。

綜合來說，網站安全需要綜合考慮系統、應用、數據和用戶等各個方面的安全，以多層次、多措施的方式進行防護。