XiaodiSec day014 Learn Note 小迪渗透学习笔记

XiaodiSec day014 Learn Note 小迪渗透学习笔记

记录得比较凌乱,不尽详细

day 14

输入输出类内容

php全局变量 server

mysql插入语法insert

搜索文件,提交表单

使用Php连接数据库,使用sql语句中的like 进行模糊查询

使用php查询内容,使用echo将内容打印到页面上

php中的连接符号是.,可以将php, html标签或引号冲突的语句连接起来

在搜索框中输入javascript 代码,若网站执行,就可能可以利用

在执行内容中输入,可能在页面中有显示,类似于你的搜索的'...'如下, 就可以在搜索框中输入可执行的js代码,在页面显示中查看执行结果

今天的视频已经把留言板做好了

存储型与反射型xss

index点击搜索执行了输入的js代码

blog将js代码存储到数据库,从数据库读取并渲染到页面时,执行了输入的js代码,只要刷新,就会执行

在留言板,搜索框等位置可能存在

php中的server用来获取访问信息

server'httprefer'能获取请求的来源

Ip请求中的x-forwarded

相关推荐
十月的皮皮1 小时前
C语言学习笔记20260706-栈的压入、弹出序列验证
c语言·笔记·学习
渣渣灰飞2 小时前
MySQL 系统学习 第二阶段 第三章 DQL(Data Query Language)第二节:WHERE 条件查询
sql·学习·mysql
维他奶糖613 小时前
基于 DrissionPage 实现小红书搜索笔记批量采集
笔记
心中有国也有家3 小时前
AtomGit Flutter 鸿蒙客户端:E-Brufen 架构设计
学习·flutter·华为·harmonyos
hssfscv3 小时前
QT的学习笔记4——QMainWindow、资源文件以及主要控件的介绍
笔记·qt·学习
克里斯蒂亚诺更新3 小时前
电脑关闭密码的操作
笔记
小小的代码里面挖呀挖呀挖4 小时前
杰理蓝牙耳机开发--LE Audio与游戏耳机应用
笔记·单片机·物联网·学习
xiaomici4 小时前
SAC中的Dataset/Model/Planning model
笔记
一楼的猫5 小时前
AI写作检测机制技术深度解析:200+维度检测、叙事指纹与网文AI辅助怎么过审
人工智能·学习·安全·chatgpt·ai写作
学数学的口心贝5 小时前
从零搭建并维护个人主页
经验分享·笔记