摘要:
关于xss防御: XSS防御主要从两个方面入手,对用户输入的过滤,对内容输出的编码。 1.用户输入的过滤: 对提交的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容;然后对动态输出到页面的内容进行html编码,使脚本无法在浏览器中执行。虽然对输入过滤可以被绕过,但是也还是会 阅读全文
摘要:
一、注释符号绕过 在sql中常用的注释符号有 --、#、/*xxx*/、 二、大小写绕过 当web正则过滤的时候对大小写不敏感的情况下使用,一般很少会有这种漏洞 比如当过滤了select的时候我们可以采用SEleCT来查询 三、内联注释绕过 把要使用的查询语句放在/*。。。*/中,这样在一般的数据库 阅读全文
摘要:
产生sql注入的问题就是用户提交的查询参数被当作sql指令在数据库中执行导致原查询语句语义改变,要避免这种情况发生,我们可以先对用户提交的参数进行黑白名单过滤,之后在sql执行之前对它进行预编译,进行参数化查询,这样几乎可以完全避免sql注入漏洞的产生。 一、过滤关键字 对用户输入的内容进行转义(P 阅读全文