网络上的SQL Injection 漏洞利用攻击，JS脚本，HTML脚本攻击似乎逾演逾烈。陆续的很多站点都被此类攻击所困扰，并非像主机漏洞那样可以当即修复，来自于WEB的攻击方式使我们在防范或者是修复上都带来了很大的不便。HOOO…… 一个站长最大的痛苦莫过于此。自己的密码如何如何强壮却始终被攻击者得到，但如何才能做到真正意义上的安全呢？第一，别把密码和你的生活联系起来；第二，Supermaster的PWD最好只有你自己知道；第三，绝对要完善好你的网站程序。然而怎样才能完善，这将是我们此文的最终目的。

　　安全防护，如何做到安全防护？想要防护就要知道对方是如何进行攻击。有很多文章都在写如何攻下某站点，其实其攻击的途径也不过是以下几种：

　　1. 简单的脚本攻击

　　此类攻击应该属于无聊捣乱吧。比如****:alert(); ＜/table＞等等，由于程序上过滤的不严密，使攻击者既得不到什么可用的，但又使的他可以进行捣乱的目的。以目前很多站点的免费服务，或者是自身站点的程序上也是有过滤不严密的问题。

　　2. 危险的脚本攻击

　　这类脚本攻击已经过度到可以窃取管理员或者是其他用户信息的程度上了。比如大家都知道的cookies窃取，利用脚本对客户端进行本地的写操作等等。

　　3. Sql Injection 漏洞攻击

　　可以说，这个攻击方式是从动网论坛和BBSXP开始的。利用SQL特殊字符过滤的不严密，而对数据库进行跨表查询的攻击。比如：

　　http://127.0.0.1/forum/showuser.asp?id=999 and 1=1

　　http://127.0.0.1/forum/showuser.asp?id=999 and 1=2

　　http://127.0.0.1/forum/showuser.asp?id=999 and 0＜＞(select count(*) from admin)

　　http://127.0.0.1/forum/showuser.asp?id=999’; declare @a sysname set @a=’xp_’+ ’cmdshell’ exec @a ’dir c:\’---&aid=9