我曾经听说过一个在银行工作的程序员，他们以小数点后16位的精度计算他们的内部数据(包括账户余额)。

所以这个家伙改变了银行转账程序，每笔交易将0.00001美元转到他自己的账户，剩下的转到原来的目的地。我认为他们很快就抓住了他，但我不得不承认，当我第一次听说他的想法时，我觉得它很好。

几年前，一位朋友给了我一把他发现的旧斧头，希望我告诉他这是一件古老的人工制品。所以，我在谷歌上搜索了一些可能有助于识别的网站，得到了一个链接到英国中部某处的博物馆网站。

只不过它把我放到的那个页面给了我整个网站的完全管理员权限。作为一个负责任的人，我更改了账户所有者的名字，这样他们就知道我不是在胡说八道，并给他们发了一封电子邮件，建议他们在更恶毒的人发现之前，把让我进入的漏洞堵上。

不用说，我收到了网站所有者的一封非常感谢的电子邮件，开发人员向他保证，错误已经被发现并修复了。尽管你不得不怀疑一个如此粗心大意的人的能力。

在PHP中，这是在第一个包含文件:

extract($_GET);
extract($_POST);

它允许覆盖未被_GET或_POST调用的变量。

我的一个朋友曾经知道一个站点将SQL查询作为GET参数传递。你知道有些人会拿这个开玩笑。

当我13岁的时候，我的学校为学生开设了一个社交网络。不幸的是，我发现了一个安全漏洞，可以将URI更改为另一个用户id，如“?”userID=123”，并为该用户登录。显然，我告诉了我的朋友们，最后学校的社交网络充满了色情。

不过我不推荐。

在我尝试的一个免费网络主机上，用“忘记密码”的方法将密码发送给你时出现了一个逻辑错误——如果你没有输入电子邮件地址(辅助电子邮件是可选的)，它会将主地址的密码通过电子邮件发送给每个没有提供辅助电子邮件的用户。

一天，我和其他数百人收到一封电子邮件，里面有数百个用户名和密码，密码都是明文。

当我第一次加入我现在工作的公司时，我的老板正在查看一个潜在新客户的现有电子商务网站。这是在IIS和电子商务的相当早期，我们可以说，安全性不那么严格。

长话短说，他改变了一个URL(只是出于好奇)，并意识到目录浏览并没有关闭，所以你可以把URL末尾的页面名称剪掉，然后看到web服务器上的所有文件。

最后我们浏览了一个文件夹，里面有一个Access数据库，我们下载了这个数据库。它是整个电子商务客户/订单数据库，充满了数千个未加密的信用卡号码。