网络无处不在的今天，安全问题日益严峻，攻击事件层出不穷，应该说，软件系统中代码存在安全漏洞是主要的祸因之一。而这实际上反映了软件开发人员在 编程的安全性方面缺乏必要的培训和常识。

由CWS（美国国土安全部下属的软件保证项目）与SANS（xx安全培训组织）联合编制的最危险的25个编程错误，是软件开发人员非常好的快速学习 资料。日前，两个机构发布了。 {zx1}的25个最危险的编程错误如下。

1. 跨站点脚本攻击(4)

2. SQL注入(3)

3. 经典缓冲区溢出(1)

4. 跨站点请求伪造(7)

5. 不正确的访问控制（授权）

6. 在安全决策中依赖不可信的输入

7. 不正确地将路径名限制为受限路径

8. 上传危险类型的文件不受限

9. 操作系统命令中特殊因素的处理不正确（操作系统命令注入）(5)

10. 敏感信息未加密(6)

11. 使用硬编码凭据(21)

12. 以不正确的长度值访问缓冲区

13. PHP程序中Include/Require语句文件名控制不正确（PHP文件侵入）

14. 数组下标验证不正确

15. 异常条件检查不正确

16. 错误消息泄露信息(9)

17. 整数溢出

18. 缓冲区大小计算错误

19. 关键函数缺乏身份验证

20. 下载未经完整性检查的代码(15)

21. 对关键资源的错误权限分配(22)

22. 资源分配没有限制

23. URL重导向到不受信的资源

24. 使用被xx或有风险的加密算法(20)

25. 存在竞争情况(Race condition)(8)

其中后加括号有数字的，是该项错误去年的排名。显然，连续两年都入选的错误，千万不要再犯了。