什么是sql注入，xss漏洞？

            XSS（Cross Site Script）跨站脚本攻击，指恶意攻击者往web页面插入恶意脚本代码，而程序对于用户输入内容未过滤，当用户浏览该页面时，嵌入其中的web里面的脚本代码会被执行，从而达到恶意攻击用户的特殊目的。因此，一般在表单提交或者url参数传递前，对需要的参数进行过滤。

             Sql注入攻击原理：使用用户输入的参数拼凑sql查询语句，使用户可以控制sql查询语句。预防方法，使用预编译语句，绑定变量，使用安全的存储过程，检查数据类型，使用安全函数。