0x00:介绍
我们都知道数据库,以表的形式来存储数据。除了数据库还有一种方式即以文件形式存储,例如 xml 文件 txt 文件等。当然像文件存储数据一般很少用,文件存储有弊端,数据过多时,读写都很慢没有索引。一些配置性的东西可能会存到 xml 文件中。xml 存数据结构和 html 有点像,比如根结点、子节点、属性节点、文本等。
<?xml version="1.0" encoding="ISO-8859-1"?>
<bookstore>
<book>
<title lang="eng">Harry Potter</title>
<price>29.99</price>
</book>
<book>
<title lang="eng">Learning XML</title>
<price>39.95</price>
</book>
</bookstore>
像上面这个 xml 数据存储,书库 bookstore 就是根结点,book 书就是它的子节点,书名 title 的 lang 语言就是属性节点,书名价格那些内容就是文本。当需要读取这些数据的时候,数据库都有增删改查语法,xml 的读取也有自己的语法,这个读取方法就叫 xpath。语法这里不介绍了,直接到 w3c 等网站花十分钟过一遍即可。
0x01:示例
这个和 sql 注入原理一样,读取数据的时候没过滤导