# 資安 (資安沒有絕對安全，還是要不斷地更新) ### 身分認證錯誤提示訊息 ==>帳號密碼輸入不正確：駭客就不能很快排除無用帳號 ==>用圖形認證 ## 實作   ### how to avoid sql injection 1. 綁定變數 2. ORM 3. 縱深防禦 - 最小權限原則 - 訊息回饋模糊 > 帳號/密碼不存在(X) > 帳號或密碼不存在(O) --- ## 心得 在今天的短短三個小時裡，真的是學到了很多新的知識，雖然最後一題的資料庫語法我不太熟悉，但還是盡力的去了解，最後Gary也很仔細地跟我講解那一長串的語法，以及輸入的格式等等，也讓我順利的解出答案。 講座的過程中飛飛也分享很多她所遇到的事情，也有待很多小實作給我們看，像是GOOGLE HACKING，可以利用它的語法去查到一些網站內的東西，覺得好酷，也給我們看了很多網站可以看一些被發現的漏洞，或是一些公司發出來給資安工程師的案子?他們去找出它們自家公司東西的漏洞，也看到了台灣很多地方的監視器，也能看見其他國家的監視器覺得好新奇，可以在家看國外的風景也是很不錯的體驗。 收穫最深的就是前端的帳密輸入錯誤的訊息提示，之前密碼輸入錯誤的時候也會想說為甚麼明明就是密碼輸錯，但是提示字永遠都是寫說帳號或密碼輸入錯誤，這個疑問也在今天解決了，原來是要防止被駭的時候很容易就知道這組帳號是否存在，讓駭客能更容易地破解。 最後，雖然最後的練習題對我來說很吃力(因為自己沒接觸太多資料庫的東西)，但是在飛飛前面的講解還有Gary的幫助下，也稍微理解了它的小概念，在講座整體方面，我覺得非常的棒，飛飛也帶了很多例子以及她自己的親身經歷給我們看，雖然每個東西對我來說都是新的，但是完全不會讓我認知負荷過重，在短短三個小時內的到了很多有用的知識，真的是獲益良多。 ###### tags: `心得`