什么是SQL注入
SQL注入是发生在web端的安全漏洞,实现非法操作,欺骗服务器执行非法查询,他的危害有会恶意获取,甚至篡改数据库信息,绕过登录验证,原理是针对程序员编写时的疏忽,通过执行SQL语句,实现目的性攻击,他的流程可以分为判断注入类型,判断字段数,判断显示位,获取数据库中的信息
2025年07月08日
SQL注入是发生在web端的安全漏洞,实现非法操作,欺骗服务器执行非法查询,他的危害有会恶意获取,甚至篡改数据库信息,绕过登录验证,原理是针对程序员编写时的疏忽,通过执行SQL语句,实现目的性攻击,他的流程可以分为判断注入类型,判断字段数,判断显示位,获取数据库中的信息
2025年07月08日
有人认为,PHP是每次请求都要初始化资源,这个开销非常大。由此,PHP不适合使用开发框架。
对于PHP,确实没有类的持久化,使得每次请求都要初始化资源,但是,这并不是开销的主要问题所在。最主要的问题,是在于开发PHP框架的人,对PHP本身的特性了解多少。最简单的,MVC需要检测UA,如果使用PHP自带的get_browser函数,那肯定是死定了。因为,使用上的方便与简单,导致的是性能的开销。
认为不可使用PHP开发框架的,还有的观点是:由于需要每次请求的时候初始化整个框架。其实,这也是一种误解。如果好好看看PHP源码,就会了解,PHP是按请求加载需要运行的文件,并不是整个框架。所以,对于框架本身,哪一种框架内核代码时越小,性能越好。
2025年07月08日
SQL 注入分类
1. 数字型注入
当输入的参数为整型时,则有可能存在数字型注入漏洞。
假设存在一条 URL 为:
HTTP://www.aaa.com/test.php?id=1
可以对后台的 SQL 语句猜测为:
2025年07月08日
什么是命令注入漏洞?
命令注入漏洞是最危险的 Web 漏洞之一。许多安全测试人员和赏金猎人的目标是找到命令注入漏洞,因为它们会对目标应用程序产生影响。
本文将概述命令注入漏洞,并介绍最终可能导致命令注入的各种漏洞。
命令注入是一种 Web 漏洞,允许攻击者在运行应用程序的服务器上执行任意操作系统命令。当应用程序使用 shell 命令或在后台执行 shell 命令的脚本时,就会出现命令注入漏洞。
2025年07月08日
最近比较忙,灵感稍微有点缺乏,本着宁缺毋滥的想法,所以一直也没憋出一篇文章来,希望大家见谅,想了想,整理了一篇关于 Web学习的文章,因为总有人会问类似的问题,所以想着直接整理下以前回答以及自己的一些经验,我想对大家的学习应该有一些参考价值!这是该系列的第一篇,后续应该还有有工具等其他篇。
我接触安全行业有几年了,在高中的时候开始感兴趣并且学习安全的,启蒙老师是《黑客X档案》以及《黑客防线》,后来才看到的《非安全手册》,基本刚开始的时候,很多人学的估计都是网吧黑客(万象之类的)、黑站(很多人估计第一个黑的就自己学校的),我也不例外,反正在网吧免费上网的那段日子是快乐的,至今还印象很深刻,挺怀念那段日子的,那时候留校,每周的生活费基本就花在买书上了,虽然生活周边找不到志同道合者,不过在网络上有一堆朋友。
2025年07月08日
本文由腾讯WeTest团队提供,更多资讯可直接戳链接查看:http://wetest.qq.com/lab/
微信号:TencentWeTest
对于新接触web开发的同学来说,XSS注入是一件非常头疼的事情。就算是web开发多年的老手,也不敢保证自己写的代码完全没有XSS注入的风险。
因为现在比较主流的XSS防治手段主要有两种,一种是在用户输入是将异常关键词过滤,另一种则是在页面渲染时将html内容实体化转义。
然而第一种方法一定程度上对业务数据要求相对较高,存在屏蔽数据和业务数据有冲突的情况,例如“程序类帮助文档的编辑保存”,“外站帖子爬虫”等等。都不能无差别将异常关键词过滤掉,必须保持原输入内容的完整性。
2025年07月08日
IT之家 6 月 8 日消息,PHP 项目维护团队昨日发布新补丁,修复了存在于 PHP for Windows 中的远程代码执行(RCE)漏洞,并敦促用户尽快更新至 6 月 6 日发布的 8.3.8、8.2.20 以及 8.1.29 版本。
PHP 是一种广泛使用的开放源码脚本语言,设计用于网络开发,通常在 Windows 和 Linux 服务器上使用。
Devcore 首席安全研究员 Orange Tsai 于 2024 年 5 月 7 日发现了这个新的 RCE 漏洞,并将其报告给了 PHP 开发人员。
Powered By Z-BlogPHP 1.7.4
蜀ICP备2024111239号-43