XiaodiSec day014 Learn Note 小迪安全学习笔记

5月前作者：Hugo_McQueen 分类：Toy博客阅读(21) 违法举报

这篇具有很好参考价值的文章主要介绍了XiaodiSec day014 Learn Note 小迪安全学习笔记。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

XiaodiSec day014 Learn Note 小迪安全学习笔记

记录得比较凌乱，不尽详细

day 14

输入输出类内容

php全局变量 server
mysql插入语法insert

搜索文件，提交表单
使用Php连接数据库，使用sql语句中的like 进行模糊查询

使用php查询内容，使用echo将内容打印到页面上

php中的连接符号是.,可以将php, html标签或引号冲突的语句连接起来

在搜索框中输入javascript 代码，若网站执行，就可能可以利用

在执行内容中输入，可能在页面中有显示，类似于你的搜索的'...'如下, 就可以在搜索框中输入可执行的js代码，在页面显示中查看执行结果

今天的视频已经把留言板做好了

存储型与反射型xss

index点击搜索执行了输入的js代码
blog将js代码存储到数据库，从数据库读取并渲染到页面时，执行了输入的js代码，只要刷新，就会执行
在留言板，搜索框等位置可能存在

php中的server用来获取访问信息

server[‘httprefer’]能获取请求的来源
Ip请求中的x-forwarded文章来源地址https://www.toymoban.com/news/detail-858236.html

到了这里，关于XiaodiSec day014 Learn Note 小迪安全学习笔记的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：如若内容造成侵权/违法违规/事实不符，请点击违法举报进行投诉反馈，一经查实，立即删除！

分享到：

领支付宝红包赞助服务器费用

小迪安全培训2023期笔记汇总-持续更新

课件内容以及部分复现章节内容应用架构：Web/APP/云应用/小程序/负载均衡等安全产品：CDN/WAF/IDS/IPS/蜜罐/防火墙/杀毒等渗透命令：文件上传下载/端口服务/Shell反弹等抓包技术：HTTP/TCP/UDP/ICMP/DNS/封包/代理等算法加密：数据编码/密码算法/密码保护/反编译/加壳等 Web常规

2023年04月23日
浏览(32)
prompt-engineering-note(面向开发者的ChatGPT提问工程学习笔记)

ChatGPT Prompt Engineering Learning Notesfor Developers (面向开发者的ChatGPT提问工程学习笔记) 课程简单介绍了语言模型的工作原理，提供了最佳的提示工程实践，并展示了如何将语言模型 API 应用于各种任务的应用程序中。此外，课程里面提供了 Jupyter Notebook 代码实例，可以直接使用

2024年02月12日
浏览(29)
【机器学习笔记】 6 机器学习库Scikit-learn

Scikit-learn是基于NumPy、 SciPy和 Matplotlib的开源Python机器学习包,它封装了一系列数据预处理、机器学习算法、模型选择等工具,是数据分析师首选的机器学习工具包。自2007年发布以来，scikit-learn已经成为Python重要的机器学习库了，scikit-learn简称sklearn，支持包括分类，回归，降维

2024年02月20日
浏览(32)
Learn Git Branching 学习笔记（Git远程仓库篇）

目录一、Git远程仓库篇 1.git clone 在本地创建一个远程仓库的拷贝 2.远程分支 3.git fetch 4.git pull 5.模拟团队合作 6.git push 7.远程库提交历史的偏离 8.远程服务器拒绝!(Remote Rejected) Git的高级话题集合在上一篇文章中Learn Git Branching 学习笔记（高级话题篇）_流年

2024年02月13日
浏览(36)
小迪安全第二天

#网站搭建前置知识域名，子域名，dns,http/https,证书等理解不同web应用组成角色功能架构开发语言，程序源码，中间件容器，数据库类型，服务器操作系统，第三方软件等开发语言：asp,php,aspx,jsp,java,python,ruby,go,html,javascript等程序源码：根据开发语言分类；应用型分类；开源

2024年01月15日
浏览(30)
机器学习笔记 - 基于Scikit-Learn的各种分类器进行分类并比较

scikit-learn是基于python语言构建机器学习应用程序的最佳库之一。简单易用，并且它有很多示例和教程。除了监督式机器学习（分类和回归）外，它还可用于聚类、降维、特征提取和工程以及数据预处理。该接口在所有这些方法上都是一致的，因此它不仅易于使用，

2024年02月09日
浏览(50)
【100天精通Python】Day74：python机器学习的生态圈（numpy,scipy,scikit-learn等），库安装环境搭建（conda virtualenv），以及入门代码示例

目录 1 python 机器学习的生态圈 1.1 NumPy 和 SciPy： 1.2 Pandas： 1.3 Matplotlib 和 Seaborn： 1.4 Scikit-Learn： 1.5 TensorFlow 和 PyTorch： 1.6 Jupyter Notebooks： 1.7 NLTK（Natural Language Toolkit）： 1.8 Statsmodels： 1.9 Virtualenv 和 Conda：（1）virtualenv 安装和使用（2）conda安装和使用 1.10 Flask

2024年02月03日
浏览(51)
小迪安全33WEB 攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全

# 知识点： 1 、中间件安全问题 2 、中间件文件上传解析 3 、 Web 应用编辑器上传编辑器也就是第三方插件，一般都是文件上传漏洞 # 详细点： 1 、检测层面：前端，后端等 2 、检测内容：文件头，完整性，二次渲染等 3 、检测后缀：黑名单，白名单， MIME 检测等 4 、绕过技

2024年03月16日
浏览(45)
小迪安全第15天：php开发-个人博客项目&登录验证&cookie&session&验证码安全

1.后台验证-登录用户逻辑安全-怎么去判定用户登陆成功 2.后台验证-COOKIESESSION 3.后台验证-验证码·万能密码等思路： 1.发送登录请求账号密码 2.接收账号密码 3.判断账号密码的准确性正确成功登陆-跳转成功页面错误失败登录-重新登陆后台管理系统有多个文件页面，为了

2024年04月15日
浏览(62)
小迪安全第56天服务攻防-数据库安全&H2&Elasticsearch&CouchDB&Influxdb 复现

1.端口扫描 2.报错回显时序数据库是近几年一个新的概念，与传统的Mysql关系型数据库相比，它的最大的特点是：数据按照时间顺序存储。举例来说，日志数据，是以时间顺序存储的，所以用时序数据库存储是一种很好的选择。使用Mysql在存储的过程中，不是对这种基于时间

2024年02月03日
浏览(32)