我觉得在做网站后台程序的时候，在关心程序安全性的时候应该把你写的web程序的使用者当做一个非法用户。非法用户——他可能不会使用常规的浏览器来对你 的网站进行访问，他可以编写程序向你的web服务器发送数据包，此时，他可以逃过你的JS验证；可以逃过你的HTTP_REFERER验证； Cookie、Session也会显得不那么的安全了，Cookie伪装、Session窃取(窃取他人的SessionID)；还可以获取你发送到客户端的所有数据，包括用Ajax传输的数据。如果你的程序没有严格检查客户端Post或者Get 来数据，SQL注入、脚本注入就很正常了。当然，如果人家直接攻击你的web服务器，再安全的web程序，也是形同虚设！

今早心情有点激动，现在得去“抢饭”了。