调试易

问题基本都是由WEB系统的错误造成的，严重一点可以影响到网站的数据库比方一个网站用ASP，用SQL server，如果提交一个表单域的时候，比如用户名合法的情况是runmin，如果，我提交了runmin'; delete from [user]; -- 这样一条信息不做检查的时候，将删除所有的user表里的信息，道理基本都明白，但是往往很多的网站都存在这样的漏洞，很多公开的WEB代码中，这些漏洞是致命的，因为源代码公开，数据表结构公开，非常危险。再举个例子，奇迹的私服WEB注册程序（ASP），就有这个漏洞，我曾经令一个私服被迫停机，而我所修改的还只是我自己的数据而已，我还不是很坏，没删他们的用户^_^。

不过ASP.NET中，系统会对post来的数据做检查，然后抛出异常，相对安全很多，JAVA中不知道有没有类似的处理。

如果不限制html代码那么runmin说的第一种情况任何一种带留言程序的网站都无法避免。
不过我很想知道大家在实际开发的过程中怎么避免这类情况发生的。为了避免第一种情况的发生，我通常会把所有的<>都转换成全角＜＞这样是不是就能完全避免提交恶意代码的可能呢？

不应该替换成全角< -> &lt;
> -> &gt;
' -> &apos;
" -> &quot;
& -> &amp;知道UBB代码吧？曾经看到有些人说这个代码好，更说比HTML安全，但是我觉得不妥，标记上面加标记，很不理智，解决的办法就是Web版的HTML Editor，这种Editor现在也很多了，而且功能也不错。曾经有的UBB解释器将[textarea]的解析做错了，结果[/textarea]<script></script>[textarea]就可以通过了，这个问题曾经存在于一个被广泛下载的BBS上，后来该BBS的更新版本改掉了这个错误，楼主所说的这个什么攻击名称可能就是由此而来的，我只是猜测，这个名词还是第一次听说。