一,注入的语言。
1.xss:基于html语言,在其中出入了js的脚本,这些脚本程序就将会在用户浏览器中执行。当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生XSS漏洞,见于服务端将用户输入不加过滤直接返回到客户端,产生反射型xss攻击,存储型xss
2.sql:sql语句的拼接,需要用到一些数据库,列,段名等,都不是固定的,只不过有的出现的次数比较多,eg:information_schema信息架构是我们常见的,但它是mysql5.0以上版本才有的,不是全都有
二,目标和目的。
1.xss:攻击者通过某些方法,将恶意脚本或命令嵌入(用夹带一词也行)到用户访问的页面中,当正常用户访问页面时,触发嵌入的恶意脚本/命令,从而达到获取cookie和种马等目的。位置:服务器
2.sql:将恶意的sql语句夹带进原本的sql语句,一起传递给数据库,站在数据库的角度没有语法错误的语句都是正常语句,所以都会执行,然后就可获取本无法获取的数据。