1 输入一些字符，看是否能查出数据库中

所有的相关信息

故障模型

---缺陷查找攻击的二十一招大法

1．输入非法数据
输入数据的类型、长度、边界值；还要留意

错误信息

本身。

基本数据类型的边界值
2．输入默认值
从选项按钮、配置面板等处去考察。
3．输入特殊字符集
根据被测软件的具体情况输入非法字符。
多了解

ASCII 字符集、程序设计语言和 OS 中的保留字符串及其特定含义。

4．

输入使缓冲区溢出的数据

在需要接受字符串的地方输入一个比最大字符串更长的字符串。

黑客常用此法来攻击系统。
5．输入产生错误的合法数据组合

在输入值之间存在依赖关系时，输入可能会出现问题的组合值

。

6．产生同一个输入的各种可能输出
在同一输入对应多个输出时可用此法测试。
7．输出不符合业务规则的无效输出
列出所有的无效输出，然后逐一测试，重点查看输出结果的正确性。
8．输出属性修改后的结果
强制每个输出产生，并编辑其属性，然后再次强制产生输出。
9．屏幕刷新显示

增加、删除、移动屏幕上的对象

。

10．数据结构溢出
尝试将过多的值输入数据结构，测试上溢；尝试多删除一个数据，测试下溢。
11．数据结构不符合约束
任何时候都要对数据属性的约束进行检查，特别注意修改数据时也要进行。
可通过破坏内部数据的约束来进行测试。