小迪php开发3.0笔记_小迪笔记

1搜索输入和输出（xss漏洞）

第一步，先链接数据库

第二步（写出搜索框）

第三步

%$s%表示的是$s前面和后面的通配符是任意的，就可以通过关键词来寻找特定的内容

漏洞的分析

（

此时通过提交js的弹窗代码，它会执行这个语句

2.留言板

第一步写前端html代码

第二部插入数据库

可以通过查找数据库的原始语句看看是怎么写的

可以得知是这么写的

  插入数据

 

显示留言数据

最终的效果为

漏洞分析  （存储性扩散攻击）

当输入js 留言后，它会存储在数据库之中，所以每次刷新网站，它都会去执行这个内容，而前面那个是临时的

3.

第一（可以看浏览器配置）

2.将此放在网站可以查询电脑ip

3.漏洞分析

例如1.

可以通过ip请求包知道你的浏览器等信息

可以改变其内容

就可以执行js 语句（这就相当于小留言框）

例二.

re可以获取来源地址，如果直接去访问如上的网站，它只会为空，因为没有来源

如果将这个地方改成想要访问的地址就有来源了

将来源改成google

***************************************************************************

有些网站是服务器的ip检测基本不行

如果是php代码写的可以通过x forwoad ,可以伪造ip127.0.0.1

csrf还不明白