-
如何get到值为 双引号查看全部
-
xss:非法javascript, 使用lexer过滤; csrf: 盗用身份伪造非法请求,使用token; sql注入: 构造非法sql, 使用PDO及占位符; 文件上传: 上传非法文件并执行,严格过滤及重命名等查看全部
-
上传文件数据时,请求数据可以在出发前被拦截并篡改 content-type可被修改, 文件名中加入:,可以通过后缀名验证, 并使move_uploaded_file执行时丢弃:之后的部分,使上传文件变成可执行的php 若上传文件没被重命名或重命名后的名字被发现,则可使文件可被任意执行 处理方式:严格检查文件,禁止出现":", 重命名文件,禁止目录列出文件,取消上传目录文件的执行权限查看全部
-
文件上传漏洞 如果后台对文件上传审查不严,导致php代码上传后被执行,可进行遍历文件等操作使源码泄露查看全部
-
使用wireshark 对数据库连接抓包查看全部
-
使用PDO统一数据库接口,可以无痛切换; 使用占位符防范SQL注入查看全部
-
实际的ASCII码,在utf-8和gbk下的解码查看全部
-
绕过转义: char(0xdf)/',在utf-8下会变成β/', 而在gbk下由于汉字是2个字节组成;在数据中将变成 運',单引号逃过了被转义查看全部
-
Sql注入:将要执行的sql语句采用拼接的方式组装时,就sql注入的可能; 原本要查询的字符串在拼接后发生发“越狱”,部分字符串被数据库识别成可执行语句, 导致意外的操作和查询结果 防范:1,屏蔽关键字和敏感词,有影响业务逻辑的可能; 2, 对传入变量转义,避免变量的内容越狱查看全部
-
web表单提交数据会引发yii的csrf验证, 所提交的表单需要带上 hidden value: _csrf; 可以由\Yii::$app->request->csrfToken 获得查看全部
-
防范csrf: 1,验证码:比较有效,降低用户体验; 2,referer头,需要考虑正常访问没有referer头的情况; 3,token, 响应请求时返回的防伪标志查看全部
-
在用户已经登陆的情况下,伪造表单,生成链接并诱使用户进行点击,从而盗用用户身份进行操作(发贴,评论,转账等)查看全部
-
get型的crtf攻击 构造url, 诱使用户点击查看全部
-
// yii过滤javascript // 去防护 \Yii::$app->response->headers->add('X-XSS-Protection', '0'); $js = \Yii::$app->request->get('js'); echo \Yii\helpers\HtmlPurifier::process($js);查看全部
-
yii2防范xss: Html::encode($str); 其源码为返回httpspecialchar($str)转码之后的值查看全部
举报
0/150
提交
取消