主题：【讨论】纯技术探讨：访问网站导致被黑的可能和难度大小 -- 铁手

如太守所说的，现在直接攻击某个用户的计算机是越来越难了。盖因现在的操作系统经过那么多年的爬摸滚打，低级错误已经很少了。同时作为客户端不需要考虑对外服务的机器，保护起来也比较简单。

而网络服务器目前还是一个大问题。主要原因是服务程序还是由水平参差的程序员写的，大多没经过严格的测试，开发人员也未经过相应的训练。所以攻击这些服务器的难度相对较低。

常见的网站攻击是利用网站对用户输入检查不严格，在输入数据的时候插入特殊的代码进行的。比如SQL注入、缓冲区溢出等等。对于论坛、Blog这类的网站还有一种方式比较常用的就是CSS攻击（或叫XSS攻击）——Cross Site Script。简单说就是在文章中加入一段脚本，当用户打开这篇文章的时候就会在用户的计算机上执行这段脚本，这样就可以把用户当前登录信息转发到其它网站。如果用户的浏览器有漏洞的话，甚至可以种下木马。

预防措施也不太复杂，就是要严格检查用户提交内容中的特殊字符，如尖括号等等。这个检查必须在服务器端完成，不能依赖客户端的脚本自己检查。另外，还需要防止用户通过其它方式绕过页面直接向服务器提交内容。一句话，我们要像防贼一样防着用户。

一般用户则需要注意浏览器的安全设置，尤其要注意跨站访问的警告。IE有这个设置，可以太烦人了，绝大多数人都关掉了。