一些常见的网站漏洞

     随着时间的增长，越来越多的网站开发者开发出了更多的网站。而网站漏洞了越来越多了。下面来说说一下常见的网站漏洞。不是很全面，希望大家能注意：

 

网站留言html语言

这个漏洞是通过在页面留言的时候，输入一句html语言。留言成功，页面有可能把这句语言当成语言编译，而不是当成text文本输出。从而通过alert，导出网站的一些信息。其实这是一个很早期的漏洞了，据说ie7以后就不存在这样的问题。但有时候可能还会发生，在这里告诉大家。

 

sql注入攻击

' OR 1=1 

sql注入攻击是通过页面向数据库提交信息时，攻击方通过对提交信息的拼接，从而实现对数据库的操作。

例如：我我们输入账号密码登陆网站时,  账号(username)：admin  密码(password)：123456

          这样提交时，页面会向后台提交数据，会在数据库执行 select  * from users where  username='admin' and password='123456'

可是通过攻击方对提交的信息拼接后，他可以输入 账号(username)：admin  密码(password)：1' or'1=1

       这样提交时，页面会向后台提交数据，会在数据库执行

                                    select  * from users where  username='admin' and password='1' or '1=1'

因为1=1永远成立，所以攻击者就可以在不知道密码的情况下，直接登陆成功。针对这个漏洞，sql数据库和eclipse都有相应的对策，但对于一些初学开发者来说，可能并没有注意到这些方面的问题，这里告诉 大家，希望大家注意。