互动网站将HTML格式用于用户反馈信息、在线用户注册、身份识别和购物车等。输入的文本和RADIO等要素用来向一个脚本或者应用程序发送数据以便在Web服务器上进行处理。Web服务器将根据收到的数据做出回应。许多网站使用“HIDDEN”(隐藏)表格输入类型，以便在把数据传送到Web服务器的过程中不在网页上显示这个信息并且使用与用户无关的信息把这个信息搞乱。HIDDEN值也用于维护状态信息，因为HTTP本身不保留状态信息。遗憾的是，HIDDEN的属性名称是一种误导。虽然一个HIDDEN表格字段的值不在网页上显示出来，但是，熟悉浏览器中“查看源代码”指令的任何用户都能够很容易地看到这个信息。

　　从信息系统安全方面说，表格输入是一种“允许的路径”，也就是说数据不是被封锁的。这个数据允许进入服务器。由于用户可以在它们的电脑上存储、编辑和发送HTML网页，用户就可能通过“隐藏的”表格字段向服务器发送虚假的或者预料不到的值。例如，使用“HIDDEN”字段发送身份识别信息的表格可能为攻击者提供获得授权进入系统的方法。同样，使用cookies存储信息就同在客户端进行修改一样容易受到攻击。使用HIDDEN表格字段保存状态信息也是危险的，因为这个过程的信息并不是真地隐藏起来，因此能够让攻击者劫持这个过程。

　　绕过HIDDEN表格字段的这个问题的一个方法是加密表格中的HIDDEN值并且在脚本和数据库操作提出请求时为其解密。然而，临时存储不同的表格需求的信息的最佳方法是使用一个进程cookie。这种cookie可用来访问服务器端维护的进程值，也可以用来访问在用户访问你的网站期间存储临时值的数据库。

　　无论你是否使用HIDDEN表格字段，如果你的网站使用一个表格的输入建立发送到一个数据库的SQL语句，或者作为一个CGI脚本的变量，你不能推测这个输入是合法的，或者是非恶意的。如果这个输入数据在进行处理之前没有得到合法性验证，很多攻击者都可以利用这种用户输入获得访问一个Web服务器的权限。这就意味着许多用户输入数据在发送到另一个处理进程之前都需要进行检查。如果任何输入的数据被用来构建网页或者提取数据库或其它资源中的数据，这些输入数据在网页上发表之前必须要进行检查。对所有这些数据进行健康性检查和过滤将确保删除任何错误的数据和阻止SQL注入等攻击。