安全测试：脚本攻击与SQL注入攻击

前者主要存在于web应用程序从用户处获取的输入，对输入的字符串没有进行验证就直接在web页面上显示了。如果是普通的字符串，则不会有任何问题，但如果是包含脚本的字符串，例如Javascript,则脚本会被目标浏览器解析，从而触发脚本的执行，完成恶意用户希望的功能，例如窃取Cookies,伪装用户与服务器交互。

后者产生的原因主要是因为程序接受用户界面的输入而没有进行验证，并且直接使用字符串连接的方式来组成SQL语句，提交到数据库服务器进行处理。如果恶意用户在界面输入的数据中嵌入的额外的SQL语句，也会一并提交到数据库执行，因此造成嵌入的恶意SQL语句的执行，例如数据篡改，绕过权限控制等等。