打开题目
输入1或者1",页面均回显NO,Wrong username password!!!
那我们输入1'
试试万能密码
1' or 1=1 #
输入1' and 1=2 #
输入1' union select 1,2,3 #
输入1' ununionion seselectlect 1,2,3 #
输入1' #
输入1'=#
页面依旧回显
说明页面过滤了=号,空格,union
知识点:
- 什么是xml?
XML 指可扩展标记语言,是一种很像HTML的标记语言(XML 不是 HTML 的替代),XML 的设计宗旨是传输数据,而不是显示数据。XML 标签没有被预定义。用户可以自行定义标签。XML 被设计为具有自我描述性。
- 但xml不会对数据内容做任何事情
下面实例是 Jani 写给 Tove 的便签,存储为 XML:
XML
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend!</body>
</note>上面的这条便签具有自我描述性。它包含了发送者和接受者的信息,同时拥有标题以及消息主体。但它仍然没有做任何事情,仅仅是包装在 XML 标签中的纯粹的信息。我们需要编写软件或者程序,才能传送、接收和显示出这个文档
xml可以让用户自定义自己的标签
- xml和html有什么区别?