1. 使用 SQL 注入的认证旁路
(txtPassword) http://xxx.vicp.net/login.aspx
(txtUserName) http://xxx.vicp.net/login.aspx
针对这个问题的解决方案
若干问题的补救方法在于对用户输入进行清理。
通过验证用户输入未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令，等等。

2.会话标识未更新
针对这个问题的解决方案
始终生成新的会话，供用户成功认证时登录。
防止用户操纵会话标识。
请勿接受用户浏览器登录时所提供的会话标识


一般理解是这样：你的登录页面会有一个session id，当你登录成功后，应该使用新的session id而不保持登录页面的session id，这样即使别人在网络上截获了你的登录页面的session id，仍然无法伪造客户身份进入系统。
如果使用同样的session id，则可能被截获并且伪造客户身份进入系统.