我們曾經介紹過利用 Captcha 技術來阻截機器人程式進入系統，與及在系統上登記帳號，對於公開的網上服務來說，Captcha 已經成為必備而有效的攔截工具，不過 Websense 最近報導，微軟的 Live Mail 及 Google 的 Captcha 均已被黑客破解，這兩宗事件對我們作為用戶有甚麼影響？對我們作為系統開發者／管理員又有甚麼啟示？

現代人是一種沒有密碼不能存活的生物，我們接觸的所有電腦系統，都要依靠密碼來鑑定訪客的身份，辦公室的大門、家裡保險箱的門鎖，可能都要靠密碼來啟動，甚至商號提供的會員證，也要憑密碼鑑定你的身份。

曾經管理網站，特別是論壇、網誌之類容許訪客寫文章的網站，一定見識過濫發文章／濫發電郵的威力，所以很多網站管理員都會安裝／啟動一個稱為 Captcha 的驗證系統，當訪客貼文章的時候，要從一個圖像中辨認出其中的文字然後連同文章一拼呈交，這些圖像都是隨機產生、充滿訊燥、字體故意被扭曲的圖像，只有人類才有能力正確辨識，這樣便可以杜絕網絡上的壞蛋使用機器人大量貼出文章。

系統保安網站 Hacker Webzine 最近有一篇文章，介紹兩個可能洩漏伺服器系統資訊的 PHP 漏洞，第一個有關伺服器變量的處理方法，第二個則有關 PHPSESSID 對話標識在用戶端被修改，嚴格來說這兩個不是 PHP 語言的毛病，只要編程人員小心謹慎，一切問題都可以避免。

相信很多 PHP 的開發者都認識 SQL 注入攻擊，我們之前在「不可不知的 PHP 安全技巧」也曾經介紹過，最近 Gareth Heyes 在他的個人網誌提到一種新的 SQL 注入攻擊招式，Gareth Heyes 稱它做「SQL 反射注入攻擊」，很多人可能都會忽略。

「每三個人便有一個把電腦密碼抄下，危害著他們的安全，公司應該採取更先進的方法來保護系統，例如生物測定等。」一個由全球性的調查機構 Nucleus Research 及 KnowledgeStorm 所做的研究顯示，很多公司用來增強資訊保安的措施並不湊效，其中包括定期更改密碼和藉著加插數字到密碼中令其更加複雜。

員工仍然習慣於把密碼寫在紙上、儲存在電腦檔案中或者流動裝置上。

HKPUG 經常報導專家們提出有關 PHP 安全性的忠告，其實很多忠告都是幾乎「常識」的水平，即使沒有專家的提點也不應該觸犯，但是我們仍然不斷在討論區見到網友編寫漏洞百出的 PHP 程式，看得人觸目驚心，這裡我們再次介紹一篇有關 PHP 安全性的建議。

Justin Silverston 在他的網誌中列出其中五個常見的 PHP 保安盲點：

1. 呼叫系統程式：在 PHP 中有幾個方法呼叫系統程式，包括 system()、exec() 和 passthru()，Justin 說若果不小使用的話，這幾個函式很容易被用戶濫用來肆意執行系統指令，盜取系統中的資料和檔案。