1. 使用 SQL 注入的認證旁路
(txtPassword) http://xxx./login.aspx
(txtUserName) http://xxx./login.aspx
針對這個問題的解決方案
若干問題的補救方法在于對用戶輸入進行清理,。
通過驗證用戶輸入未包含危險字符，便可能防止惡意的用戶導致應用程序執(zhí)行計劃外的任務,，例如：啟動任意 SQL 查詢,、嵌入將在客戶端執(zhí)行的 Javascript 代碼、運行各種操作系統(tǒng)命令,，等等,。

2.會話標識未更新
針對這個問題的解決方案
始終生成新的會話，供用戶成功認證時登錄,。
防止用戶操縱會話標識,。
請勿接受用戶瀏覽器登錄時所提供的會話標識


一般理解是這樣：你的登錄頁面會有一個session id，當你登錄成功后,，應該使用新的session id而不保持登錄頁面的session id,，這樣即使別人在網絡上截獲了你的登錄頁面的session id，仍然無法偽造客戶身份進入系統(tǒng),。
如果使用同樣的session id,，則可能被截獲并且偽造客戶身份進入系統(tǒng).