常见的网站安全攻击包括但不限于以下几种：

1. SQL注入攻击：通过在输入字段中注入恶意的SQL语句，攻击者可以访问、修改、删除或者篡改数据库中的数据。 防御策略：使用参数化查询和准备语句，过滤和验证用户输入，限制数据库用户权限，以及定期更新和修复数据库软件等。

2. 跨站脚本攻击（XSS）：攻击者通过将恶意脚本注入到网站的输出内容中，使得其他用户在浏览网站时执行这些脚本，从而窃取用户信息或者执行其他恶意操作。 防御策略：对用户输入进行过滤，使用内容安全策略（CSP）配置白名单，对特殊字符进行编码或过滤以防止脚本注入，以及在网站开发中使用安全编码标准。

3. 跨站请求伪造（CSRF）攻击：攻击者利用用户登录状态下的信任，通过诱导用户访问恶意网站来执行恶意操作。 防御策略：在关键操作中使用验证码或二次确认，使用同源检测，为每个用户生成一个随机的令牌（CSRF Token）进行请求验证，并在Cookie中设置SameSite属性为Strict或Lax。

4. 代码注入攻击：攻击者通过将恶意代码注入到应用程序执行环境中，从而达到执行任意代码、拒绝服务或者获取敏感信息的目的。 防御策略：对用户输入和外部数据进行验证和过滤，严格限制文件上传的类型和大小，避免使用动态执行代码的函数和语句，以及保持系统软件和框架的更新。

5. 会话劫持和会话固定攻击：攻击者获取合法用户的会话凭证，从而可以冒充用户进行恶意操作。 防御策略：使用加密的会话凭证，限制会话的生命周期，定期更换会话ID，使用HTTPS协议进行通信，以及提供用户可见的安全提醒。

除了上述攻击，还有DDoS攻击、网站木马、目录遍历攻击等其他常见的网站安全问题。

针对这些攻击，常见的防御策略包括：

• 使用防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）等网络安全设备进行实时监控和防护。

• 定期更新和修补操作系统、服务器软件和应用程序等，及时修复已知的漏洞。

• 使用强密码策略，对用户密码进行加密保存，并设置账户锁定机制。

• 对敏感数据进行加密存储和传输，合理使用HTTPS协议。

• 使用安全编码标准和最佳实践，对所有输入进行过滤和验证。

• 对用户身份认证和授权进行严格的验证和限制，如使用多因素认证等。

• 定期备份数据，并进行灾难恢复和业务恢复测试。

• 对员工进行网络安全教育和培训，提高安全意识和防范能力。

综合来说，网站安全需要综合考虑系统、应用、数据和用户等各个方面的安全，以多层次、多措施的方式进行防护。