駭客和程式設計師其實論其根本上來基本一樣，但在其側重點上又有不同。

第一點，駭客側重攻擊，繞過計算機漏洞，以及利用程式設計師在程式設計時的邏輯錯誤。

第二點，駭客可以變身程式設計師，而其程式設計經驗和利用漏洞的經驗，要比普通程式設計師要厲害得多，所謂知己知彼百戰百勝。

第三點，程式設計師想要變身駭客，首先要在思維上進行轉變，程式設計師的主要思維是在如何實現某些功能，而駭客是在實現某些功能過程中，可以有效的避免漏洞的產生。

駭客主要是用各種漏洞掃描 攻擊去利用他人系統漏洞實現控制 修改 別人的系統 大多還破壞者 當然也有善意的貢獻者

程式設計師主要是根據上級或者產品的需求使用IDE 或者其他編輯器開發程式碼實現特定業務邏輯 是建設者

假設老闆今天給bai了我們一個任務，讓我們判斷一個IP是否在du線。我們可以zhi用Python編寫ping IP程式碼importost=input（"請輸dao入要檢測的IP:"）result=os.popen（"ping-C 1-t1%s"%（主機））。Read（）如果"ttl"inresult:Print（"Ip online"）否則：Print（"Ip offline"）。

現在，作為一個程式碼審閱者，您不會考慮程式碼的總體結構，也不會考慮編寫此程式碼的程式設計師為什麼使用Ping或Popen。你覺得有什麼問題嗎？如果沒有，請考慮兩個問題：波本的本質是什麼？如果您不知道或沒有使用過Popen，請不要查詢它並猜測此函式的用。在這個程式中，Popen要執行的命令是什麼？既然 popen 後面執行的語句中的 host 變數是由使用者輸入的，那惡意使用者是不是可以輸入一個localhost && whoami 呢？這樣 popen 執行的程式碼就變成了 ping -c 1 -t 1 localhost && whoami。注意，就算上述例子中沒有將執行結果直接打印出來，但沒打印出來並不代表程式碼沒有執行。例如如果我直接輸入 host 為 localhost && whoami的話，輸出結果還是 IP 存在, 但這並不代表 whoami 命令沒有執行，我們依舊可以建立一個 Reverse Shell。為了驗證結果，我們在程式碼裡面讓 result 被打印出來。

這種技術稱為命令注入。如果普通程式設計師沒有遇到這種問題，他們就不會碰這種技術。當他們看到上面的漏洞程式碼時，他們會覺得沒有問題。他們至多認為這有點不愉快，但能反映出第一時間安全漏洞的少數人是少數。這聽起來像是一種簡單的技術，比反向和動力提升簡單得多。但這項技術很有創意，有低下限和高上限。例如，我們現在知道上面的問題存在，所以在輸入階段中過濾一些關鍵字是可以的。在這個問題中，我們希望使用者輸入一個IP地址，所以我們需要直接過濾掉空間。普通IP地址中沒有空格。

我認為它在脆弱性敏感度和創造力方面都很強。在CVE、駭客論壇等場所提高脆弱性敏感度需要花費大量時間，而創造力只有靠天賦和運氣才能提高。你可能認為有很多方法可以避免這個例子。首先，我承認這個例子是一個暫時的例子，這是不好的，但請注意，我的例子是非常簡單和不成熟的。在現實的紅藍戰場上，以SQL注入為例，經過這麼多年，我們能完全避免它嗎？我記得今年年初黑網曝光的收藏資料庫，1000克各種注入資料庫，涉及世界各地的各種論壇，甚至包括一些銀行、一些人口辦公室和一些政府機構。程式碼思想是有限的，創造力是無限的。

膽大如斗，心細如髮，堅持如根，善用工具。

在虛擬網路世界裡，充滿著各方勢力，猶如一場無硝煙的戰爭，殘酷程度絲毫不輸短兵相接，狹路相逢勇者勝。

駭客猶如阻擊手，隨時有被對方盯住甚至攻擊的危險，稍不留意，要麼錯失戰機，要麼被對手消滅。

頂級駭客都是優秀的狩獵者，以靜制動，以逸待勞，隱藏在暗處，等待對手出現破綻，一擊致命。

工欲善其事必先利其器，看看工具箱，就知道什麼才是工具控。

駭客就是程式設計師中的戰鬥機。

程式設計師是蓋樓的，駭客是翻牆的。

二者興趣不同，程式設計師追求的是用什麼技術，能把樓蓋的又快又好；駭客感興趣的是，怎麼能繞過保安，偷偷跑到樓裡面去。

大部分的程式設計師，對於溢位滲透沒有興趣，也不研究，別說黑別人的系統，就算那系統開放服務，如果API寫的不好，文件混亂，也是不情願去花時間的。