小弟在这里向各位老鸟请教些问题。主要就是关于防止web网站被攻击的问题。 首先在写程序的时候 所有的需要执行的sql 语句都是用了参数化。而且在处理客户端提交的数据时都做了特殊字符的过滤。并是用了微软提供Anti Xss 库 过滤一些不安全的脚本代码等。 但是网站还是被注入了。数据很多字段后面都被 追加了数据。类似于<img src='a.html'/>这样的代码。网站里面有两个编辑器 一个 fck 还有一个是国内的ewebeditor 。 除了编辑器 实在是想不出 哪里还可以做注入攻击。。关于 url 的攻击问题。这里想问下。如果骇客利用url攻击 通过url 是否可以达到注入攻击。关于url 应该如何防止。还望各位高手指点。