我所见过的最严重的安全漏洞是在MS SQL Server的早期版本中，7.0或2000版本，记不清了。

当安装此版本的SQL Server时，安装程序默认会给“sa”帐户一个空密码!!(sa帐户是SQL管理员帐户，它可以在服务器上做任何事情)

这基本上让任何人都可以访问没有防火墙保护的SQL服务器。

但还有更糟的。

当时，安装了许多SQL服务器以在“本地系统”身份验证下运行服务，这使SQL server进程对系统有无限的控制。

既然你可以在SQL server中创建COM对象，你就可以完全访问运行SQL server的计算机了。

很多网站都是这样被黑客攻击的。

login.jsp?type=user&redirct=/home.jsp&userid=12345&username=username&password=mypassword

这发生在一个非常大的网站上。当我看到这个的时候，我惊呆了。

Select * from user where user_id = '*userId*' and access_level = 0 or access_level = 1;

如果查询返回任何行，则它们被允许进入系统。围绕着“access_level = 0或access_level = 1”的括号将实现他们的意图。相反，只要有access_level为1的用户，任何人都可以进入。

我们有一个客户要求根据特定的HTTP引用器自动登录。所以你和我必须登录，但如果你点击了一个特定网站的链接，你就会自动以默认用户登录。

我所见过的最糟糕的安全漏洞实际上是由你们公司编写的，导致谷歌机器人删除了我的整个数据库。

当我第一次学习经典ASP时，我编写了自己的基本博客应用程序。包含所有管理脚本的目录在IIS上受到NTLM的保护。有一天，我移动到一个新的服务器，忘记重新保护IIS中的目录(哎呀)。

博客主页有一个指向主管理界面的链接，主管理界面为每条记录都有一个DELETE link(没有确认)。

有一天，我发现数据库中的每一条记录都被删除了(数百条个人记录)。我以为是某个读者闯入了网站，恶意删除了所有的记录。

我从日志中发现:谷歌机器人爬了站点，跟踪管理链接，然后继续跟踪所有的DELETE链接，从而删除数据库中的每一条记录。我觉得我当之无愧的年度傻瓜奖被谷歌机器人无意中损害了。

谢天谢地，我有备份。

一家销售电脑的公司用FrontPage建立了一个网站，每个人都可以完全访问。