超全局变量 $GLOBALS — 引用全局作用域中可用的全部变量$_SERVER — 服务器和执行环境信息$_GET — HTTP GET 变量$_POST — HTTP POST 变量$_FILES — HTTP 文件上传变量$_REQUEST — HTTP Request 变量$_SESSION — Session 变量$_ENV — 环境变量$_COOKIE — HTTP Cookies 已经被弃用的变量 $_HTTP_COOKIE_VARS$_HTTP_ENV_VARS$_HTTP_GE…

StringEscapeUtils的常用使用,防止SQL注入及XSS注入 2017年10月20日 11:29:44 小狮王 阅读数:8974   版权声明:本文为博主原创文章,转载请注明出处. https://blog.csdn.net/wanghaoqian/article/details/78293631 引入common-lang-2.4.jar中 一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能 官方参考文档 StringEscapeUtils.unescapeHt…

目录 SQL注入 什么是SQL注入? 掌握SQL注入之前需要了解的知识点 SQL注入情况流程分析 有完整的回显报错(最简单的情况)--检索数据: 在HTTP报文中利用注释---危险操作 检索隐藏数据: SQL注入导致逻辑漏洞 SQL注入重点--盲注! 通过触发条件响应来实现SQL盲注 通过触发布尔错误实现SQL盲注--布尔盲注 通过触发时间延迟实现SQL盲注--时延盲注 通过OAST进行盲注--最终大招 双注入 SSRF 攻击 什么是SSRF攻击? 常见SSRF攻击情况 针对服务器本身的SSRF…

ansible-plabybook 常用的有用的命令 ansible-playbook常用的非常有用的参数有: -C ,大写c ,这个命令的意思就是模拟执行,会告诉你跑完这个playbook会发生什么,其实并没有真实发生 ansible-playbook -C web.yml –step ,这个参数的作用是逐步执行,每执行完一个task,脚本会提示是否继续,或者跳过, ansible-playbook --step web.yml…

关于系统命令注入,可以参考这篇文章:命令攻击介绍 系统命令注入场景 在对企业进行安全测试时候,很少会发现系统注入漏洞.这是因为大部分情况下代码业务主要是数据操作.文件操作.逻辑处理和api接口调用等,很少直接使用系统命令. 那么,都会有什么情况会调用系统命令呢?这个真不一定,有时候需要靠猜靠运气,不过代码不会无缘无故调用系统命令,细心研究还是会查到一些迹象的.比如对于图片处理.大文件压缩解压.ppt转pdf等,如果目标网站或者服务器接口提供这样的功能,一般情况下代码都会调用第三方软件,这里举几个…

文件上传漏洞: 一句话木马 一句话木马主要由两部分组成:执行函数与 接收被执行代码的变量 执行函数: eval() assert() create_function() array_map() array_filter() call_user_func() call_user_func_array() eval() 将字符串当作PHP代码执行,注意一定要带分号: <?php @eval($_POST['shell']);?> 将含有这个代码的PHP文件上传到服务器,命名为webshell.ph…

golang常用库:cli命令行/应用程序生成工具-cobra使用 一.Cobra 介绍 我前面有一篇文章介绍了配置文件解析库 Viper 的使用,这篇介绍 Cobra 的使用,你猜的没错,这 2 个库都是同一个作者 spf13,他开发了很多与 golang 相关的库,他目前在 google 领导着 golang 产品相关开发工作. Cobra 是关于 golang 的一个命令行解析库,用它能够快速创建功能强大的 cli 应用程序和命令行工具. 它被很多知名的项目使用,比如 Kubernetes…

我常用的那些linux命令 用linux也有些年头了,说来也忏愧,说是有些年头了,其实也还是个不长进的主.记得第一次接触linux是boss跟我说的怎么操作,什么编辑模式,按i,a,o进入编辑模式.在一个黑乎乎的窗口下不知道怎么胡乱编辑一通.那时的我说来也真是初生牛犊不怕虎呀,对linux一窍不通居然可以找到工作.想想除了那份势必找份工作养活自己而被就业的心是如此的强大呀!在这个互联网信息泛滥的时代,我写的这些东西势必已经有前辈已经写过了.在此重复与其是分享,倒不如说是自己的笔记本,仅此而已.一…

zip命令的常用选项 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 大家都知道,在linux上一切皆文件,在实际生产环境中,如果我们需要部署一些系统的服务,我们会将一些软件包提前下载下来统一放到一个文件夹中, 然后将部署的过程用shell或者python写成一个脚本,当我们在一个裸机上部署一个服务的时候,就只需要执行脚本,然后你去喝上一杯咖啡,回来的时候服 务就已经部署好了.哈哈~以上的都不是重点,重点是存放脚本和软胶包的目录,那么如何把这个目录下载下来呢?你可能会用tar,…

Oozie命令行常用命令汇总 有时候脚本跑多了就不愿意在OozieWeb端去看脚本的运行情况了.还好Oozie提供了很多命令行命令.能通过命令行直接检索自己想看到的脚本信息.在这里简单进行一下总结.一般都是自己每天常用的. 1. 将一个job挂起:oozie job -suspend [jobID] oozie job –suspend 0000244-140909170015500-oozie-hado-W 2. 恢复被挂起的job:oozie job -resume [jobID] oozi…