文本的“本意”一点都不重要。重要的是能被怎么理解。因为能被怎么理解，就能被怎么执行。$sql = "SELECT * FROM users WHERE username = '$user' AND password = '$pass'";你看，上面这行代码的“本意”是不是好的？但具体执行的时候，别人却可以在不需要知道密码的情况下以管理员身份通过验证。

文本的“本意”一点都不重要。重要的是能被怎么理解。因为能被怎么理解，就能被怎么执行。

$sql = "SELECT * FROM users WHERE username = '$user' AND password = '$pass'";

你看，上面这行代码的“本意”是不是好的？但具体执行的时候，别人却可以在不需要知道密码的情况下以管理员身份通过验证。

所以，对于因此而被入侵的系统来说，写下这行代码的人的“本意”一点都不重要。

发布于北京