下面這幾個注意事項或許可以幫你一些
1. 找到Web應用所有的輸入點，找到所有的能接受用戶輸入的地方，漏掉輸入點也就漏掉了可能存在的縫。
2. 過濾每一個輸入點，為每個輸入點設定相應的校驗規則和邊界。
3. 不要忘記校驗哪些隱藏域，cookie和url參數。
4. 驗證從數據庫里面得到的數據，這個是最容易忽視的地方，不要相信來自數據庫里面的數據就是合法的數據。
5. 你是如何做輸入校驗的？ javascript？如果只是用javascript做客戶端校驗, 風險還是很大的，一定要確保加上服務端的校驗，否則如果客戶端禁用了javascript或者客戶端代碼被人工修改，非法數據還是會進入系統內部的。
6. 隱藏異常信息，再周全的校驗也不可能覆蓋所有的case，如果非法數據造成了系統的異常，不要將詳細的異常信息暴露給客戶端，這些異常信息有可能成為系統的攻擊入口。
在做輸入校驗的時候，從“什么樣的輸入才是合法的”入手會降低驗證失效的風險，應該只為每個輸入點的輸入內容制定一個有限的，剛好夠用的合法范圍，除此之外的所有內容都當做是非法的。而從“什么樣的輸入是不合法的”入手則會增加驗證失效的可能，因為你不可能窮舉非法的輸入。