为什么说https会http更安全呢？

事实上你对‘https更安全’的理解有误，https比http安全指的是数据传输过程，而不是服务器后台的安全防护。https只能防止别人直接监听数据包拿到传输内容而已，对于服务器漏洞或者sql注入之类的，https并没有任何比http高明的地方

http明文，就是明信片，别人拿到了就可以看到内容。
https是上锁的保险箱。别人拿到了也开不了锁（就目前的计算机性能来说没办法暴力破解https数据包）

这里要明确https的作用，https是用来加密网络上传输的数据，不对数据内容做验证。

如果你的网站使用https，它能保证用户和你网站交互发送的数据不被第三方监听（如被三方使用wireshark类抓包工具抓包）并明文查看。

如支付宝官网使用https，能保证你的银行账号和密码不被泄露。https把你的个人信息加密后再网络上传输。

但是，https不会检查你发送的具体内容。它不会管你是否发的是银行账号和密码，还是sql注入数据。它只保证数据加密。

具体用户发送的数据（账号密码还是sql注入），就需要你在代码里进行检查了

http传输的是明文内容，也不对传输双方进行身份验证。只要在数据传输路径的任何一个环节上，都能看到传输的内容，甚至对其进行修改；
https之所以比http安全，是因为他利用ssl/tls协议传输。它包含证书，卸载，流量转发，负载均衡，页面适配，浏览器适配，refer传递等。

https采用了通信加密(SSL+TLS)+证书+完整性保护，
不是https本生安全
而是后面这些措施安全
SSL配合SMTP一样可以让SMTP安全
SSL配合Telnet一样可以让SMTP安全
HTTP为了高效，没有采用这些而已。
请理解他的本质。

https主要解决不是注入的问题，而是中间传输被第三方拦截的问题。

比如你的论坛有用户名密码输入框，虽然你的密码框属性为type=password，屏幕看不见了，但是传输给服务器的post字符串是明文的。

此时假设你们公司的网管在路由器上sniffer数据，那么就能看到你的密码。

而HTTPS把浏览器和server之间的通信加密了，sniffer只能看到加密后的东西，就无意义了。

寄信人 和 收信人 防止信被 送信人 偷看 或者 改写 信中的内容，就需要 双方认同的加密 这个加密就是 https

已经保证传输过程是安全了（你发送的数据没有被窃取也没有被修改）。即便你发送的数据是sql注入，那也是更安全的把这个不安全因素传输过去了。。。程序处理过程防止sql注入已经不是http传输的过程了啊。

先说说http为什么不安全，因为容易被csrf（跨站请求伪造），简单的说就是坏人捡到了你的钥匙（信物），然后开了你家的门！因为门是无法识别谁开了它！（这句话好变扭），而且http是使用了明文传输。

那么https呢，使用了一个套加密传输协议ssl，具体可以看这里

我们老师说 https也不是很安全的.我不明白为什么不安全.
不是说楼主那样的什么什么程序设计..
我指的就是 中间人攻击这问题上 他能保证吗,虽然从费马的XXX算法来说,我是相信的,但是实际上应用会不会有什么漏洞?