SQL Injection, XSS, XSRF/CSRF
SQL Injection, 顾名思义就是把SQL语句通过用户输入注入到服务器端, 比如返回的永远的都是true值来达到登陆验证,或者是获取数据库表的信息。
XSS 跟SQL Injection有些相似, 不过它注入的不是SQL而是Java Script, 比如说让网页重定向到一个钓鱼(phishing)站点,或者执行一些请求
XSRF/CSRF 假如存在XSS漏洞的话,你的网站可能就是XSRF/CSRF的帮凶了, 黑客可以让通过你的网站去劫持用户浏览器进行一些转帐的请求 (假如用户刚刚登陆那个银行的网站不久),这个可以通过校验 http 头文件的 referer 或者页面token来避免。