SQL注入攻击简介 结构化查询语言SQL是用来和关系数据库进行交互的文本语言.它允许用户对数据进行有效的管理,包含了对数据的查询.操作.定义和控制等几个方面,例如向数据库写入.插入数据,从数据库读取数据等. 关系数据库广泛应用于网站中,用户一般通过动态网页和数据库间接进行交互. 常见的动态网页一般都通过形如“http://domain-name/page.asp?arg=value”等带有参数的URL来访问.动态网页可以是asp.php.jsp或perl等类型.一个动态网页中可以有一个或多个参数…

上一篇"手把手教你制作微信小程序,开源.免费.快速搞定",已经教会你如何快速制作一个小程序,但作为资讯类小程序,内容不可少,并且还需要及时更新. 但是,如果让你复制粘贴,可能还需要上传图片,更新一篇文章可能要花半个小时,那么,我想你也很难坚持下去. 好吧,我来介绍一下我的秘密武器,针对"罗孚传车"小程序,我是如何在一小时内更新100篇文章,并让小程序快速上线的. 当然,Evernote Sync插件功不可没,其作者TangGaowei实在太赞,针对插件问题我经常邮件…

前言 HashMap 源码和底层原理在现在面试中是必问的.因此,我们非常有必要搞清楚它的底层实现和思想,才能在面试中对答如流,跟面试官大战三百回合.文章较长,介绍了很多原理性的问题,希望对你有所帮助~ 目录 本篇文章主要包括以下内容: HashMap 的存储结构 常用变量说明,如加载因子等 HashMap 的四个构造函数 tableSizeFor()方法及作用 put()方法详解 hash()方法,以及避免哈希碰撞的原理 resize()扩容机制及原理 get()方法 为什么HashMap链表会…

一.什么是SQL注入  SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL.而SQL注入是将Web页面的原URL.表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令.如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击.本笔记环境为MySQL数据库. 二.My…

注册中心作用 开篇首先想思考一个问题,没有注册中心 Dubbo 还能玩下去吗? 当然可以,只要知道服务提供者地址相关信息,消费者配置之后就可以调用.如果只有几个服务,这么玩当然没问题.但是生产服务动辄成千上百,如果每个服务都需要手写配置信息,想象一下是多么麻烦. 好吧,如果上面的问题都不是事的话,试想一下如果一个服务提供者在运行过程中宕机,消费者怎么办?消费者不知情,所以它还会不断把请求发往服务提供者,然后不断失败.这个时候唯一的办法就是修改服务地址信息,然后重启服务. 可以看到如果没有注册中心…

SSRF漏洞 SSRF漏洞 SSRF意为服务端请求伪造(Server-Side Request Forge).攻击者利用SSRF漏洞通过服务器发起伪造请求,就这样可以访问内网的数据,进行内网信息探测或者内网漏洞利用 SSRF漏洞形成的原因是:应用程序存在可以从其他服务器获取数据的功能,但对服务器的地址没有做严格的过滤,导致应用程序可以访问任意的URL链接.攻击者通过精心构造URL连接,可以利用SSRF漏洞进行以下攻击: (1)     通过服务器获取内网主机.端口和banner信息 (2)   …

前言 1 前言 XXE漏洞 XXE漏洞全称(XML External Entity Injection)即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取.命令执行.内网端口扫描.攻击内网网站.发起dos攻击等危害.xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件. XML基础 XML XML(EXtensible Markup Language,可扩展标记语言…

前言 PHP命令执行漏洞 应用程序的某些功能功能需要调用可以执行系统命令的函数,如果这些函数或者函数的参数被用户控制,就有可能通过命令连接符将恶意命令拼接到正常的函数中,从而随意执行系统命令,这就是命令执行漏洞. 基本函数 1.system()用于执行外部程序,并且显示输出 <?php system('whoami'); ?> 2.exec()函数用于执行一个外部程序 <?php exec('whoami');?> 3.shell_exec()函数通过shell环境执行命令,并且将…

前言 这几天一直在关注新管状病毒,从微博到各大公众号朋友圈了解感觉挺严重的看微博感觉特别严重看官方说法感觉还行那就取中间的吧 自己要会对这个东西要有理性的判断.关注了好两天所以耽搁了学习emmm 希望病毒早点过去吧! 反序列化漏洞 序列化和反序列化 为了有效地存储或传递数据,同时不丢失其类型和结构,经常需要利用序列化和反序列化函数对数据进行处理. 反序列化函数返回字符串,此字符串包含了表示值的字节流,可以存储于任何地方 反序列化函数对单一的已序列化的变量进行操作,将其转换成员来的值 这两个过程结…

前言 起来吃完早饭就开始刷攻防世界的题,一个简单的文件包含题我竟然都做不出来我服了  拿出买的书开始从头学习总结文件包含漏洞! 一.文件包含漏洞 文件包含漏洞 文件包含函数的参数没有经过过滤或者严格的定义,并且参数可以被用户控制,这样就可能包含非预期文件.如果文件中存在恶意代码,无论文件是什么类型,文件内的恶意代码都会被解析并执行. 文件包含漏洞肯能会造成服务器网页被篡改.网站被挂马.服务器被远程控制.被安装后门等危害. 常见的文件包含函数: 1.include() 包含并运行制定文件.在出错时…