snake冰淇凌

摘要： <script>alert('xss')</script> XSS简介 – 原理攻击者把恶意的脚本代码注入到网页中，等待其他用户浏览这些网页（或触发其他条件），从而执行其中的恶意代码。 利用XSS弹出恶意警告框<script>alert(‘xss’)</script>网页不停刷新<meta http 阅读全文

摘要： 在通过PHP的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，导致意外的文件泄露甚至恶意的代码注入。 HP常见的导致文件包含的函数如下：include(),include_once(),require(),require_once(),fopen(),readfile( 阅读全文

摘要： 注入的一般步骤： 1.先找闭合 判断有无注入点 ; and 1=1 and 1=2 现在要判断数据库类型以及版本，构造语句如下：id=-1 union select 1,2 ,version() order by 语句来查询数据库中存在多少数据表 order by语句来查询数据库中存在多少数据表,如 阅读全文

摘要： Union联合查询注入大致步骤： 1.判断列数 -- 通过 order by n; 2.判断显示位 -- id =-1 union select 1,2,3挨着试 报错注入 1.报错注入就是构造让信息通过错误提示回显出来, 前提：页面上没有显示位，但是需要执行SQl语句输出错误信息 基于布尔类型的注 阅读全文

摘要： id title content time author select * from new where id=1？ select 联合查询 union order by 排序 先知道有几列 在联合查询 version 版本号 前后两个语句都对就显示ID了，把不要查的报错后面的版本信息就出来了id= 阅读全文

摘要： #!/usr/bin/env python# -*- coding: utf-8 -* 注释语句 Python程序是大小写敏感的，如果写错了大小写，程序会报错， 以#开头的语句是注释，注释是给人看的，可以是任意内容，解释器会忽略掉注释。其他每一行都是一个语句，当语句以冒号“:”结尾时，缩进的语句视为 阅读全文

摘要： select a.订单id, a.业务类型 a.单价 a.消费数量 b.用户姓名, b.用户联系方式 from 订单表 a left join 用户表b on a.用户id = b.用户id where b.用户性别 = '男' and (a.单价 * a.消费数量) > 10000 and b.用 阅读全文

摘要： MySQL 链接MySQL命令 MySQL -uroot -p密码 root就是用户名 MySQLadmin -uroot -p password 查看数据库命令 show database; 选择数据库命令 use 数据库名；使用use语句后，反馈出链接数据库成功，可以看出来连接到数据库了 创建数 阅读全文