goldchao

摘要： 1.上传文件过滤了后缀名和MIME类型，$_FILES['pic']['type']是由浏览器传输的文件类型决定，但是mime_content_type()是由php 内置方法判断文件类型； 支持文件类型为application/zip,支持上传zip压缩文件，后缀名还是要改成.jpg或.gif,上 阅读全文

摘要： 单个漏洞，需要进行排查与整改，借着别人的智慧，做一个简单的收集。最好能够将常见漏洞，不限于web类的，进行一个统一的整理。这是今年的任务。 进行漏洞的工具的收集，为未来的工作做好基础。。。 一、SQL注入漏洞 SQL注入攻击（SQL Injection），简称注入攻击、SQL注入，被广泛用于非法获取 阅读全文

摘要： /////////////////////////////////////命令注入攻击:使用的是system函数执行windows系统dir命令，来显示URL参数dir所指定的子目录的内容。 可以使用escapeshellarg函数来处理命令的参数，防止URI来进行命令注入攻击使用的是passthr 阅读全文

摘要： 在linux里： . 代表此层目录 . . 代表上一层目录 - 代表前一个工作目录 ~ 代表“目前用户身份”所在的中文件夹 ~account 代表account这个用户的主文件夹(account是个账号名称) cd：切换目录 cd ~vurtne 切换到vurtne这个用户的主文件夹，即/home/ 阅读全文