对Name输入框输入xss payload,会发现对长度做了限制
将maxlength改为100
输入payload
成功弹窗
对Message输入框输入xss payload
代码分析
未对输入数据进行xss检测编码,直接写入到数据库中,存在存储型xss漏洞。
trim函数
stripslashes函数
mysqli_real_escape_string函数
Mysqli_query函数
超级全局变量
对Name输入框输入xss payload,会发现对长度做了限制
将maxlength改为100
输入payload
成功弹窗
对Message输入框输入xss payload
代码分析
未对输入数据进行xss检测编码,直接写入到数据库中,存在存储型xss漏洞。
trim函数
stripslashes函数
mysqli_real_escape_string函数
Mysqli_query函数
超级全局变量