XSS-Cross Site Scripting 跨站脚本攻击初识

    如果通过html 或者是js注入不安全的代码，插入到数据库可能导致原来的数据截断，插入了不期望的数据，甚至是可以获得非法权限，网站挂马，网站钓鱼，CSRF攻击。

注入方式：html， js注入；

基本思想：fileter input , escape output，输出html代码时用PHP的htmlspecialchars方法过滤, 输出javascript代码时用json_encode函数转义

预防方法：1，对输入数据进行转义，在输出时再进行还原；
          2，对输入的数据进行过滤，确保输入数据符合我们的期望（数据长度，类型，过滤空格特殊符，判断唯一性等）

更多关于XSS的文章，51testing 上有个叫蚂蚁土大象的总结的挺好的。
refer to : http://www.51testing.com/?uid-316693-action-spacelist-type-blog-itemtypeid-17510