经常会在电视、电影中看到很牛的黑客攻击了主机或者拿到一手资料又或者能控制关卡,感觉太神了,自己真想也能过把瘾,不过感觉这种是黑客才独有的,非一般人可以达到,不过周五的安全培训,让我改变了想法——黑客的攻击都是依赖于现有的漏洞,或者说程序编程中的大意。
例如简单的
select*from User where ID = "1"和select*from User where ID = 1就有很大的区别,如果使用 ID = 就会给黑客开一道门,此时我可以在添加其他语句,例如 where ID = 1 or name=“shangj”,此时如果没有任何检查的话,我的附加内容就会被执行,从而我可以活的一些非法的数据。
所以说,一个小的改动也许就会避免给黑客的可乘之机,也许就是我们在编程时的一个不注意就会被黑客测试出来,然后趁机做一些事情。
我们要树立一种意识或者一种习惯,现在提出来可能感觉醍醐灌顶一样,说自己知道了,但是真正用的时候是不是就又会抛之脑后呢?我们需要的是一种意识和一种习惯而不是一时的领悟。