这两天有一个伙计攻击我管理的一个网站，SQL数据库里几乎所有重要字段都被加上了的一句诸如“<script src="http://xxx.xxx.xxx"></script>”这样的代码。这种攻击以前也碰到过，可这次这位老兄有点缺德，不光是在字段里面加这段代码，而且连字段里本身的内容都只保留了前面30个字母或汉字的内容，这完全就是破坏性的攻击！要知道，所有用户的密码通过MD5加密后都是32个字母和数字的组合，当这串组合被截掉了两位，全部用户的密码都失效了！

以前遇到这种攻击的时候，也是搞得我焦头烂额，后来用了一段防范SQL注入和COOKIES注入的代码，就解决了。不知为什么时隔一年以后，这种攻击手法又卷土重来，而且居然绕过了原来设定的防范代码！逼得我不得不重新查找新的问题所在，现在还在解决中，也还在试验中，所以没什么好说的。等完全解决后，我再来写一篇解决问题的手记吧。