xss概念：
xss（Cross Site Script）跨站脚本攻击，为不和层叠样式表（css）混淆，写为xss
存在位置：web应用系统最常见软件安全漏洞
后果：代码植入到系统页面，篡改数据、盗取系统私密数据等非法目的

常见XSS攻击方式
1、往页面表单提交恶意的js脚本代码
2、通过alert来攻击
3、通过image来攻击
4、通过iframe来攻击
5、通过a来攻击

xss攻击能够实现的原因：
1.系统没有过滤javascript标签
2.系统没有过滤掉html标签

xss攻击的解决方案：
对特殊符号进行转义："<",">"

sql注入漏洞存在的前提条件：
1.通过拼接条件字段的值得到的执行的sql命令
2.拼接后得到的sql出现了恒等表达式，就能绕过数据库的校验

解决方案：
通过已有的数据库框架的预编译机制来预处理即将要执行的sql命令，
就能起到防注入的作用。（sql预编译机制）

cookie，session的对比
1.cookie它是一个客户端技术，利用cookie来做一个数据缓存，非重要的数据可以放cookie里缓存。
2.session它是一个服务端技术，session是一个会话，用户登录成功后服务器端会创建一个session会话，并且将登陆用户信息保存在会话里面，
并且把该session会话的编号sessionId缓存在客户端，后面用户再来请求网站内容的时候就会带上这个sessionId编号，
服务器拿到这个编号去匹配session，如果是同一个就意味着此session会话就是登陆后创建的session，就会鉴权通过，用户就有权限访问我们的系统了