前言
#知识点:
1、PHP-全局变量$_SERVER
2、MYSQL-插入语法INSERT
3、输入输出-XSS&反射&存储
4、安全问题-XSS跨站&CSRF等
网站将你的输入 在输出一次,这就叫输入输出漏洞,XSS就是一个典型的输入输出漏洞。
输入输出&留言板&访问获取
<?php
include("F:\phpstudy_pro\WWW\blog\config/conn.php");
$s=$_POST['search'];//GET请求接受id参数名值给变量i
$sql="select * from emails where email_id like '%$s%'"; .//进行一个模糊查询
$result=mysql_query($sql,$conn);
echo $s;
while($row=mysql_fetch_array($result)){
echo '<br><br><hr>';
echo $row['id'];
echo $row['email_id'];
} //显示模糊查询的结果
echo mysql_error()
?>
这里就存在一个XSS的风险。因为他会将你的搜索内容显示在页面上
墨者靶场-IP地址伪造来源&来源页伪造
CSRF(跨站点请求伪造)
以知攻击者知道的某个管理员的习惯。攻击者在色色上植入一个JS代码网页。
能获取管理员管理的网站信息。
管理员去访问一个SESE会触发代码
由于管理员浏览器可以直接登录网站 管理权限
管理的网站:检测来源 过滤了攻击