登录业务中存在的安全问题

背景：
          在互联网网站中，用户注册，登录几乎是每个网站的标配功能。在一般人看来一个小小的登录业务表面上看起来很简单 ，大概过程是这样的：用户在前台页面输入用户名和密码，然后后台web服务器拿到用户输入信息，在数据库里根据用户名和密码匹配一下，有数据返回，表示用户的账号和密码匹配成功，跳转到相关页面；没有则返回登录错误提示用户。这个小小的业务流程看似很简单，但是因为涉及到用户账号和密码这类关键性用户数据，常常成为黑客的攻击点。比如：csdn被人拖库，密码报出明文存储，小米网站爆出泄漏用户登录信息（小米技术人比较牛，密码泄漏后，做了两件事情，第一承认用户账号泄漏，第二泄漏后叫用户别怕，因为加密存储了密码，黑客拿到的是加密后的密码）。京东，支付宝等大的互联网网站等也有暴露过相关泄漏用户账号黑客事件。
   
          由于程序员的开发技术水平参差不齐，项目进度，或者压根就没安全意识等因素，导致编写的用户注册，登录功能存在很大的安全风险。安全小菜鸟在这里罗列一二，以备不时之需。


遇到的安全问题：
1、 拖库
          由于程序中存在sql注入漏洞，在客户端输入信息时，用户恶意输入一些sql语句，导致数据库里的用户信息被黑客窃取（有兴趣的同学可以上网搜搜怎样进行sql注入攻击，进行拖库），然后用户的账号信息就被黑客拿到ÿ