山 · 水

文件上传入门推荐文章：超详细文件上传漏洞总结分析-腾讯云开发者社区-腾讯云 (tencent.com) 原理我只能浅显地说：在要上传的文件里构造语句并按照特定的方式进行上传，以达到攻击者的目的。 限制措施及绕过前端检测原理前端检测主要是通过JavaScript语句。 附：如果检测失败则不会发出请求，也就是不会发包。 判断 前端验证通过以后，表单成功提交后会通过浏览器发出─条网络请求，但是如果前端验证不成功，则不会发出这项网络请求;可以在浏览器的网络元素中查看是否发出了网络请求。 绕过方法一：改变前端F12修改source的JavaScript代码，或者直接禁用JavaScript 方法二：骗过前端文件名是name.png，在bp抓包后改成name.php 须知：只有前端通过后才能发包，bp这时才能抓包 MIME绕过基础概念 MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。 常见的MIME类型 text/ ...

PHP留言板一.数据库启动(bd.php)代码1234567891011<?php$host = 'localhost';$username = 'root';$password = '';$database = 'ROIS_PHP';$conn = new mysqli($host,$username,$password,$database);if($conn->connect_error) { die('Connection failed：'. $conn->connect_error);}?> 学习四个配置没啥说的 创建$conn对象实现MySQL数据库操作：new mysqli() connect_error是$conn的一个属性 二.注册账户(register.php)代码123456789101112131415161718192021222324252627282930313233343536373839404142434 ...

XSS入门学习推荐文章：对于XSS跨站脚本攻击的学习 - 先知社区 (aliyun.com) 原理文章：https://xz.aliyun.com/t/12890?time__1311=mqmhq%2BxjhiGKDsD7GY0%3DbDtRhbpWiYeD&alichlgref=https%3A%2F%2Fwww.google.com.hk%2F 概述概念1跨站脚本攻击（Cross-Site Scripting，XSS）是一种常见的Web安全漏洞，攻击者通过在受害者的浏览器中注入恶意脚本来执行恶意行为。这种攻击通常利用Web应用程序没有对用户输入的数据进行足够的过滤和验证。 攻击原理12XSS跨站脚本攻击的原理是利用Web应用程序对用户输入数据的不足过滤和验证，将恶意脚本注入到受害者的浏览器中，使其在浏览器中执行。攻击者通常会将恶意脚本嵌入到Web页面中的某个位置，比如输入框、评论框、搜索框等等，然后诱使用户访问这个被注入了恶意脚本的页面。当用户访问页面时，恶意脚本就会在用户的浏览器中被执行，从而执行攻击者预先设定好的恶意行为，比如窃取用户的Cookie信息、伪造用户的网站 ...

PHP入门基础教程基础教程以后再补，先上高级教程。 超级全局变量高级教程基础高维数组给代码，慢慢悟 1234567891011121314151617<?php$men = array( array('abc','bcd'), array('bnc','acc'));print_r($men);$women = array( 'pq'=>array( 'pp'=>array('abc','bcd') ), 'xq'=>array( 'pp'=>array('abc','bcd') ));print_r($women); date函数例子：date(‘?,?,?’)，?是规定的字符。其间的逗号是连接符，可以用其他的符号代替。 文件包含要求：主文件的后缀必须是 ...

SQL注入入门基本知识判断字符型或者数字型注入字符型： /?id= 1’ and ‘1’=‘1 正确 /?id= 1’ and ‘1’=‘2’ 语义错误（非语法错误） 数字型： /?id= 1 and 1=1 正确 /?id= 1 and 1= 2 语义错误（非语法错误） 记忆核心数据库：information_schema 其中的表：schema, tables, columns 其中的列： schema：schemata tables：table_schema columns：table_name 报错注入函数 *updatexml()函数的使用：更新xml文档的函数，返回替换的XML片段* *语法：updatexml（xml_documat，XPath_string，new_value）* 参数：1xml_documat：是STRING格式，为XML文档对象的名称，这一项可以输入一个十六进制的字符，比如0x26（&）。 2XPath_string：是XP ...

MySQL入门要学习，先开机：mysql -u root -r 你还得学会选择数据库：use database_name; 基础每一行(Record)，称为记录 每一列(Column)，称为字段 字段定义了数据类型（整型、浮点型、字符串、日期等），以及是否允许为NULL。注意NULL表示字段数据不存在。一个整型字段如果为NULL不表示它的值为0，同样的，一个字符串型字段为NULL也不表示它的值为空串''。 正常，概念不同。另外，字段尽量不要使用NULL，优势：简化查询条件，加快查询速度，也利于应用程序读取数据后无需判断是否为NULL。 主键是记录的唯一标识。主键是必要的。主键有大概有以下几种： 自增整数主键 全局唯一GUID类型：使用一种全局唯一的字符串作为主键，类似8f55d96b-8acc-4636-8cb8-76bf8abc2f57。GUID算法通过网卡MAC地址、时间戳和随机数保证任意计算机在任意时间生成的字符串都是不同的，大部分编程语言都内置了GUID算法，可以自己预算出主键。 联合主键允许多个列联合为主键，某一列可以有相同字段，只要所有字段不全部 ...

JavaScriptJavaScript简介 JavaScript代码需要在<script>标签中写入 JavaScript代码可以在<head>，<body>以及外部文件中写入 JavaScript基础四用法： 使用 window.alert() 弹出警告框。 使用 document.write() 方法将内容写到 HTML 文档中。 使用 innerHTML 写入到 HTML 元素。 使用 console.log() 写入到浏览器的控制台。 1.window.alert() 123<script> window.alert(5 + 6);</script> 2.document.write 123<script> document.write(HELLO);</script> 3.innerHTML 123<script> document.getElementById("pq").innerHTML = 'is a handsome!& ...

HTML入门相关概念 HTML全称：Hyper Text Markup Language，是一种标记语言。 HTML文档也叫做 web 页面。 HTML文档由HTML标签嵌套和相关文本等组成，每种标签内还有对应的属性。 HTML元素是一个完整的标签和内容：一个 HTML 元素包含了开始标签与结束标签。 Web 浏览器：Web浏览器（如谷歌浏览器，Internet Explorer，Firefox，Safari）是用于读取HTML文件，并将其作为网页显示。浏览器并不是直接显示的HTML标签，但可以使用标签来决定如何展现HTML页面的内容给用户。 中文编码：目前在大部分浏览器中，直接输出中文会出现中文乱码的情况，这时候我们就需要在头部将字符声明为 UTF-8 或 GBK。example： HTML元素 HTML 元素以开始标签起始 HTML 元素以结束标签终止 元素的内容是开始标签与结束标签之间的内容 某些 HTML 元素具有空内容（empty content） 空元素在开始标签中进行关闭（以开始标签的结束而结束） 大多数 HTML 元素可拥有属性 另外，HTML 文档由嵌套的 HTM ...

HTTP入门资源和URI引入：HTTP 请求的内容通称为“资源”。”资源”这一概念非常宽泛，它可以是一份文档，一张图片，或所有其他你能够想到的格式。每个资源都由一个 （URI） 来进行标识。 URIURL(统一资源定位符)(Uniform Resource Locator) URL又被称为Web地址，语法如下： http://www.example.com:port/path/to/file/?key1=1&key2=2#somewhere 解析： 1.protocol(方案或协议)常见的有http，https，具体如下表： 方案 描述 数据 数据 URI 文件 指定主机上文件的名称 FTP协议 文件传输协议 HTTP/HTTPS协议 超文本传输 协议／安全的超文本传输协议 mail至 电子邮件地址 SSH的 安全 shell 电话 电话 瓮 统一资源名称 查看源代码 资源的源代码 WS/WSS （加密的）WebSocket （en-US） 连接 2.主机Domain Name(域名)：www.exampl ...