攻击十：脚本代码暴露攻击

　　描述

　　它可以读通过使用脚本文件名作为参数，这个脚本的源代码。看来，这个脚本包含一个确定的名字是使用用户提供的数据文件。这个数据是不正确验证之前被传递给包括功能。

　　影响

　　攻击者可以收集敏感信息(数据库连接字符串，应用程序逻辑)通过分析源代码。这些信息可以被用来发动进一步袭击。

　　攻击十一：SQL注入攻击

　　描述

　　SQL注入攻击是一个漏洞，攻击者可以通过操纵服务器端用户输入的SQL语句。当一个SQL注入接受用户输入的Web应用程序，直接放入一个SQL语句，不正确地筛选出危险的信息。这是目前互联网上应用的一个最常见的应用层攻击。事实上，尽管网络应用相对脆弱，但此漏洞相对容易防范。

　　危害

　　攻击者可以通过此漏洞来操纵系统上任意的SQL语句。这可能会危害数据库的完整性或者暴露敏感的信息。 根据所使用的后端数据库，SQL注入漏洞导致不同程度的攻击数据或者访问系统。它可能不只是现有的查询操作，或者是任意数据联盟、使用子查询、追加额外的查询。在某些情况下，它可能会读出或写入文件或控制系统执行上层命令。 如Microsoft SQL Server的某些SQL服务器包含存储和扩展程序(数据库服务功能)。如果一个攻击者能够访问这些程序有可能危及整个机器。

　　攻击十二：XPath注入漏洞攻击

　　描述

　　该脚本很容易受到XPath注入攻击。

　　XPath注入攻击是一种通过用户提供的XPath查询语句，利用网络技术来构建网站。

　　危害

　　未经认证的攻击者可以提取一个完整的XML文档来使用XPath查询。这可能会损害数据库的完整性，泄露敏感信息。

　　攻击十三：盲目SQL注入(定时)攻击

　　描述

　　攻击十一与攻击十二的混合体。

　　危害

　　未经认证的攻击者可以执行任意SQL系统及未经保护的XPath语句。这可能会损害数据库和完整性或者泄露敏感信息。