摘要: https://www.drivereasy.com/buy.php?comeid="><script>alert('OPENBUGBOUNTY')</script> 以上链接注入了一个弹窗,运行后如下图所示: 因为buy.php会直接使用get方式传递过来的参数作为值,并且echo输出到页面上, 阅读全文
posted @ 2018-06-04 19:06 Ryan_zheng 阅读(197) 评论(0) 推荐(0) 编辑
摘要: 有时候使用可变变量名是很方便的。就是说,一个变量的变量名可以动态的设置和使用。一个普通的变量通过声明来设置,例如: <?php$a = 'hello';?> <?php$a = 'hello';?> 一个可变变量获取了一个普通变量的值作为这个可变变量的变量名。在上面的例子中 hello 使用了两个美 阅读全文
posted @ 2018-06-04 15:01 Ryan_zheng 阅读(145) 评论(0) 推荐(0) 编辑
摘要: 使用 PHP 构建的 Web 应用如何避免 XSS 攻击 Web 2.0 的发展为网络用户的互动提供了更多机会。用户通过在论坛发表评论,或是在博客发表留言都可能有意或无意输入一些破坏性的内容,从而造成网页不能正常显示,影响其它用户的使用。XSS 全称为 Cross Site Scripting,因为 阅读全文
posted @ 2018-06-04 10:46 Ryan_zheng 阅读(151) 评论(0) 推荐(0) 编辑