人们把密码贴在公共网站上……

在我尝试的一个免费网络主机上，用“忘记密码”的方法将密码发送给你时出现了一个逻辑错误——如果你没有输入电子邮件地址(辅助电子邮件是可选的)，它会将主地址的密码通过电子邮件发送给每个没有提供辅助电子邮件的用户。

一天，我和其他数百人收到一封电子邮件，里面有数百个用户名和密码，密码都是明文。

我们有一个客户要求根据特定的HTTP引用器自动登录。所以你和我必须登录，但如果你点击了一个特定网站的链接，你就会自动以默认用户登录。

Select * from user where user_id = '*userId*' and access_level = 0 or access_level = 1;

如果查询返回任何行，则它们被允许进入系统。围绕着“access_level = 0或access_level = 1”的括号将实现他们的意图。相反，只要有access_level为1的用户，任何人都可以进入。

去年，我发现我所在的公司用来处理支票/报表的网站充满了SQL注入漏洞。

不用说，他们很快就把洞补好了。

我在The Daily WTF上看到过这个。

<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
    if (form.id.value=="buyers") { 
        if (form.pass.value=="gov1996") {              
            location="http://officers.federalsuppliers.com/agents.html" 
        } else {
            alert("Invalid Password")
        }
    } else {  
        alert("Invalid UserID")
    }
}
//-->
</script>

恕我直言，没有什么比这更好的了。