作为一个攻击者，他会从推测验证用户名和密码的查询sql语句开始。通过查看源文件，他就能开始猜测你的习惯。

比如命名习惯。通常会假设你表单中的字段名为与数据表中的字段名相同。当然，确保它们不同未必是一个可靠的安全措施。