如果对code (SQL/php etc) injection, file inclusion, cross site scripting 不熟悉可google相关文章。 防止这类漏洞的最重要一点在于对用户输入作过滤。例如,对于防止xss可参照归坛的function.php里的removexss() 函数。 关于这类漏洞的危害,这里有篇文章是关于对一些常见网站加入木马shell的,有兴趣可一读. 转篇华夏的从后台拿到webshell(转自 donews: http://blog.donews.com/swap/" ...