前言:
刚开始写程序的时候,因为会的东西很少,所以只是追求能完成要求即可,并没对程序的安全性进行检查,所以就会出现很多安全方面的问题。
亲历:
下面说一下自己刚刚学习php时出的问题。
大家都知道,在web应用里,提交信息是最基本以及最常见的活动,而用户实际会提交什么就不能预知了。而我一开始为了省事,而且当时也没安全方面的概念,所以也就没有对提交的信息进行检查。直到偶然间内容没输入完整就提交了,这样我必须直接修改数据库才行。。。。这时我这才注意到这样下去不行,于是就开始学着判断提交的内容是否为空,就这样开始接触到了JavaScript进行提交前的判断以及确定等操作。然后正当我志得意满的时候,书上告诉我世界上有种叫SQL注入的东西,,,,,
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
像我这样的php新手,总是喜欢拼接sql语句,然后心怀恶意的人就可以很轻松利用 or 或者 and 进行SQL语句拼接进而达到非法查询(select)或者删除(delete)数据库数据的效果,很容易就对web应用造成毁灭性的打击,,我自己也尝试了一下,结果轻松把自己数据库的全部数据显示了出来,,,甚至可以清空数据库,,,,,
之后我就开始学习敏感字符过滤和使用安全的函数,,,,包括之后学习jsp以及数据库大作业时都做了大量的检查工作,这个应该就是我迄今为止发现的自己程序的最大bug了,,,也行更大的还没发现。。
听闻:
下面说一个我听闻的bug吧。
现在火遍全球的英雄联盟(LOL),在2012年5月的草创期间出现了史上最大的bug--------卡天赋BUG,这个BUG 使用很简单,直接用金山游戏即可修改天赋(貌似是修改内存?),直接导致召唤师技能无CD,简单来说玩家可利用此bug给自己无限加血,无限瞬移,,,, 这游戏没法玩了。。。这件事影响上万玩家,当年影响极为恶劣,当事人均被封号。
最近的一个bug就是一个游戏道具价格修改错误,直接降了100倍,,,导致上万人疯狂购买,涉及金额至少上百万RMB。
(为何这种好事我没赶上,,)
以上,,我的知识水平还是不够的,还是需要好好学习的,,