弱点四：SQL注入式攻击

　　SQL注入式攻击漏洞是与缓冲区溢出攻击，可以称兄道弟。除了溢出弱点，SQL注入是另一类依赖于开发人员没有测试输入数据而导致的攻击。如大多数人拥有字符数字或者秘密，或者有安全意识的人，拥有附带其他键盘符号的字符数字式密码，这可以提高密码的安全程度。出于这种安全的考虑，开发人员可能会允许用户输入任何字符作为密码。但是如果在开发过程中，没有做好严格的检查，那么就可能会造成Web服务器的SQL注入式攻击。

　　SQL注入式攻击的原理非常的简单。在网络上关于其的资料也有一大把。为此笔者不在这里过多的阐述。笔者只是强调一下，在开发Web应用程序时，SQL注入式攻击应该引起开发人员的重视。采取积极的措施来消除这个弱点。

　　根据以前的攻击案例，可以知道这个弱点是针对Web应用程序最有效的攻击手段之一。而且随着大家对Web应用程序信任的增加(如网上转帐等业务的应用)，其危害性也就越来越大。

　　其实要防止这个攻击也比较简单。主要就是应用程序在开发时，要加强对用户输入数据的检测。如对于用户输入字符的长度、字符的格式等等内容进行比较严格的限制，并在用户输入数据后、保存数据之前进行严格的检查。只要做好输入检查这一段，基本上就可以消除这个弱点所带来的安全威胁。