以下是硅谷動(dòng)力記者：諾諾的采訪報(bào)導(dǎo)。
SQL注入經(jīng)久不衰，已經(jīng)成為了一種常見(jiàn)的入侵手法，經(jīng)典教程《SQL注入天書(shū)》是很多人都覺(jué)得這是一篇他們真正能看懂的SQL注入文章，幾乎成了學(xué)SQL注入和ASP編程的人群必看文章。著名的SQL注入工具“NBSI”更是因其功能之強(qiáng)大成為了時(shí)下黑客們必備的工具。而它們的作者就是我們今天要采訪的對(duì)象——小竹。
諾諾：小竹，你好，先給大家介紹下你自己吧。
小竹：我是小竹，看過(guò)《SQL注入天書(shū)》和用過(guò)“NBSI”的朋友應(yīng)該都認(rèn)識(shí)我了吧。其實(shí)我并不覺(jué)得自己是什么黑客，只認(rèn)為我自己是一個(gè)優(yōu)秀的WEB開(kāi)發(fā)人員， 從開(kāi)發(fā)中總結(jié)出SQL注入的經(jīng)驗(yàn)，第一個(gè)系統(tǒng)化的整理了這方面的知識(shí)并公開(kāi)出來(lái)而已。
諾諾：《SQL注入天書(shū)》和“NBSI”在黑客圈子里有很多“FANS”的， “FANS們”一定都想知道你是怎么走進(jìn)這個(gè)黑客圈子的？
小竹：以前我自己寫的程序也有一些漏洞的，后來(lái)偶然發(fā)現(xiàn)了，對(duì)網(wǎng)絡(luò)安全的興趣便一發(fā)不可收拾，加上我原來(lái)SQL的基礎(chǔ)比較好，所以很快就成為別人眼中的“高手”了。當(dāng)然，NB聯(lián)盟中還有幾個(gè)朋友比我還早認(rèn)識(shí)到SQL注入，只是沒(méi)太深入研究。
諾諾：如果我沒(méi)記錯(cuò)的話，NB聯(lián)盟是你以前所屬的組織吧？
小竹：是的。NB聯(lián)盟在ASP和數(shù)據(jù)庫(kù)方面有著非常深入的經(jīng)驗(yàn)，在安全方面僅限于研究腳本漏洞，從而達(dá)到完善自己系統(tǒng)而已。由于2003到2005年的注入非常流行，而且在我發(fā)布《SQL注入天書(shū)》和NBSI之前，很多網(wǎng)站上都存在著一些腳本漏洞，在達(dá)到一定知名度后，修補(bǔ)各種漏洞也成了我們的研究和業(yè)務(wù)范圍之內(nèi)。
諾諾：在黑客技術(shù)當(dāng)中，有什么事情讓你覺(jué)得很有成就感？
小竹：好象沒(méi)什么覺(jué)得很有成就感的事,不過(guò)看到自己的作品轉(zhuǎn)載到幾乎所有的技術(shù)網(wǎng)站,心里還是挺高興的。當(dāng)然，同樣開(kāi)心的事是認(rèn)識(shí)了一幫志同道合的朋友。
諾諾：小竹，你認(rèn)為“黑客”應(yīng)該是什么樣的定義？
小竹：我個(gè)人看法，黑客就是比較善于發(fā)現(xiàn)和利用漏洞的人,黑客必要有嚴(yán)密的羅輯思維,細(xì)心且耐心,那些只會(huì)用工具的,嚴(yán)格來(lái)說(shuō)不算是黑客。另外,我也不認(rèn)為自己是黑客,我一直都認(rèn)為自己只是個(gè)優(yōu)秀的程序員。
諾諾：對(duì)于現(xiàn)在國(guó)內(nèi)很多個(gè)人和企業(yè)都談“黑”色變，你作為一個(gè)WEB開(kāi)發(fā)人員一定有很深的體會(huì)，你來(lái)給我們大家分析下目前國(guó)內(nèi)的網(wǎng)絡(luò)安全狀況吧？
小竹：國(guó)內(nèi)現(xiàn)在的情況是,只要不被黑,幾乎沒(méi)幾個(gè)個(gè)人或公司會(huì)投入多少錢去做好網(wǎng)絡(luò)安全,特別是一些中小型的公司,在這方面的投入幾乎為零.所以一出問(wèn)題,臨時(shí)抱佛腳的情況很普遍,這也造成了他們?cè)诔鰡?wèn)題的時(shí)候維護(hù)成本非常高,也是他們談黑色變的根本原因。
諾諾：目前這種網(wǎng)絡(luò)安全狀況，你有些什么樣的建議?
小竹：雖然現(xiàn)在的網(wǎng)絡(luò)安全狀況比03,04年的時(shí)候好得多(離不開(kāi)黑客的"功勞",哈哈),但安全問(wèn)題還是不容忽視的,在這里我稍微提一下重點(diǎn)吧:
1.從企業(yè)角度:事前防范的成本往往比事后補(bǔ)救要低得多.
2.從開(kāi)發(fā)者角度:良好的編程習(xí)慣,可以杜絕很多安全漏洞."沒(méi)有絕對(duì)安全的系統(tǒng)"只是一個(gè)借口,你要做的,就是保證你負(fù)責(zé)的部分完全沒(méi)有漏洞.
3.比某些"黑客"角度:別再以攻下某一個(gè)網(wǎng)站做為炫耀的資本,網(wǎng)絡(luò)安全這潭水深不可測(cè).
諾諾：在采訪的最后，你還有什么話想對(duì)大家說(shuō)的嗎？
小竹：其實(shí)黑客技術(shù)是用來(lái)做什么的，我在以前也經(jīng)常想過(guò)這樣的問(wèn)題，不過(guò)在我的文章和工具發(fā)布兩年后，我很高興的看到，國(guó)內(nèi)很多網(wǎng)站的安全性，已經(jīng)比兩年前有非常大的提高，注入工具也在慢慢的失去它的作用。其實(shí)就象一個(gè)醫(yī)生一樣，看到病人少了，心里有點(diǎn)酸，但更多的還是高興。畢竟在提高中國(guó)網(wǎng)站的安全性方面，自己做了不少的貢獻(xiàn)。我表達(dá)的意思就是，與其去DDOS別人，做一些損人又損己的事，不如把時(shí)間花在提高自己水平的事上面，你說(shuō)對(duì)嗎？
諾諾：感謝小竹接受我們的采訪。 68476636-8007）