摘要： Injection sql语句全部使用参数形式调用，不拼sql语句 对输入都要验证：客户端验证+服务器段验证 数据库操作的授权 针对每个输入Field，来验证字符串是否允许输入Cross-Site Scripting (XSS) 输入参数,使用微软的Anti-XSS组件过滤 输出到界面html元素’s string,使用微软的Anti-XSS组件过滤 SRE(Security Runtime Engine) HttpModule全自动方式Broken Authentication and Session Management UnknowInsecure Direct Object Refe. 阅读全文