有感而发，为什么这么发自然不言而喻了。

我大概知道为啥十年前网络是网络技术泛滥以及爆炸的年代了。当时的网络上，简直就是百家争鸣，那时候的你，能完整的自己写下一个程序，确实是非常非常厉害的了。

并不像如今各种开源代码泛滥，各种工具包，各种什么东西下载下来部署一下，就能迅速构建出一个web程序。在那时，除了提供的API之外，其他的各种代码，自己手打之外，就靠着各种的搜集了，以及各大web站出现所谓的XXXX源码。

再加上安全意识并不强，在win2k3，使用administrator配合APM/IIS的大有人在，同时1433/3306弱口令，RDP弱口令，奇奇怪怪的上传点。基本随处可见。八年前的一个下午我用了一个所谓的“社会工程学字典”配合一个“1433传马机”一个下午上了白来台的影像历历在目。其中不凡还有XP个人电脑等。

为什么sql危害这么大呢？sql注入攻击相比起另外一个“弱口令”攻击比起来，更具有直观性，这个点，能日就是能日，不能日就是不能日，不想弱口令攻击完全看脸，也许这个字典不行，也许换个字典就好了，也许这里是强密码，按照目前的算力跑到地球毁灭都跑不出来。

反之sql攻击就不一样了，这相当于直接给黑客一个平台，好比与你把你家的大门打造的固若金汤，但是却想不到你家的窗户正门户大开。而且数据库操作又是动态网站的基础操作，不是动态的网站甚至都不好意思称呼自己是个网站了hhhh

所以SQL对于web来说，存在普遍性和规范性，加上安全意识不强，或者说代码混乱等等各种奇怪的原因，导致漏洞泛滥。

最为直观的就是早期黑阔们对啊D，明小子这种工具的热衷，基本十个教程里面，七个都是这两个东西。还有就是一群“爱国黑客”拿着这些东西配合搜索引擎对着外国网站一通乱扫等等。

虽然到了最近几年，web技术成熟化了，模块化了。大家都用造好的轮子，基本也不会出现那种低级的API和注入点。这种现象也才慢慢的削弱下去了（取而代之的是各种exp的盛行，这也进一步说明了国内网络安全集体水平的提升。

所以，我只想说，对于老站点，一定要更新更新更新，或者实在不行就关掉。不要使用过时系统！！！例如windows XP/windows 2k3。这种系统基本没有安全支持，而且就算有支持，这类操作系统一旦被拿下，能够直接读取系统下的账户密码，进行社会工程学攻击！！

再者，正确配置权限！！！不要给mssql/web服务过高的权限，正确配置的权限，能把损失降到最低。除非你不按照上一条，更新系统，否则除非0DAY攻击。黑客基本不能提权。甚至权限和后台配置得当，黑客甚至不能上传木马。连webshell都拿不到。

最后一条，如果可以的话，尽量使用相对路径，配合上面一条，合理的上传点管控，合理的权限设置，合理的数据库设置，黑客就算拥有了注入点，除了获取管理密码也毫无办法，当然这点已经是很不好的了，但是至少。能避免你整个操作系统被攻破来的比较好