继续分享xss tips的。 前几天php代码安全审查,也发现了相同的问题,在xss过滤上,很多人会陷入一个误区。 看我以往文章会发现,全局的实体编码是不安全的,因为实体编码不会处理\,强转url编码是相对安全的,经常写java,都知道,java在处理用户输入的特殊字符串,会用Escaper这个第三 ...
分类:
其他好文 时间:
2021-05-04 16:43:00
阅读次数:
0
不会忽略的意思是shell当做特殊字符处理 1. 单引号 会忽略其中的所有特殊字符 包含空格 需要用单引号 2. 双引号 不会忽略$ 反引号 \ 3. 反斜线 转义 续行 4. 反引号 使用命令输出代替 $() 执行命令 这种写法要比反引号要好 ...
分类:
系统相关 时间:
2021-04-16 12:03:08
阅读次数:
0
1,google基本语法 google中不分大小写,通配符 * 表示一个单词或字符, 使用双引号包含强制搜索, + - | inurl:搜索包含特定字符的URL。 inurl:admin.jsp intext:网站正文包含指定字符串 intext:安全测试 site:显示某个域名的所有页面 site ...
分类:
其他好文 时间:
2021-04-10 13:23:04
阅读次数:
0
2.1.C语言的汇编表示 c语言代码 int plus(int x,int y) { return 0; } void main() { __asm { mov eax,eax } //调用函数 plus(1,2); return; } 汇编代码 1: 2: int plus(int x,int y ...
分类:
编程语言 时间:
2021-04-10 12:50:12
阅读次数:
0
idtitleattr 1 李白 {“banji”:“1班”,“xueduan”:“初三”,“xuexiao”:“某某一中”,“jiaoshi_id”:“11,12”} 取值:json_extract(json字段,"$.key值"); 取学校: select json_extract(attr," ...
分类:
数据库 时间:
2021-04-05 12:44:17
阅读次数:
0
在动态页面语言中(如jsp),js变量赋值时常会用到EL表达式,而当值含义单引号或双引号时,就会解析出错。 解决方案: 先翻译为编码形式,然后解码(目前最简易方案) var name = unescape('${name.replaceAll("\'","%27").replaceAll("\"", ...
分类:
Web程序 时间:
2021-03-15 10:40:53
阅读次数:
0
1 简介 json格式(JavaScript Object Notation的缩写)是一种用于交换数据的文本格式。每个JSON对象,就是一个值。 要么是简单类型的值,要么是复合类型的值,但是只能是一个值,不能是两个或更多的值。这就是说,每个JSON文档只能包含一个值。 2 JSON对值的类型和格式的 ...
分类:
Web程序 时间:
2021-03-05 13:20:47
阅读次数:
0
1】print()函数可以输出的内容 1.数字 2.字符串 #字符串需要加单引号或者双引号,加字符串的目的是为了让电脑直接输出字符串中的内容 3.表达式 2】print()函数将内容输出的目的地 1.显示器 2.文件夹 ex:将数据输出至文件中 fp=open('D:/text.txt','a+') ...
分类:
其他好文 时间:
2021-02-17 14:59:37
阅读次数:
0
中文社区 常量 1.字符串常量 在SQL中,一个字符串常量是一个由单引号(')包围的任意字符序列,例如'This is a string'。为了在一个字符串中包括一个单引号,可以写两个相连的单引号,例如'Dianne''s horse'。注意这和一个双引号(")不同。 2.美元引用的字符串常量 虽然 ...
分类:
数据库 时间:
2021-01-26 11:53:53
阅读次数:
0
服务器时间与网络时间不符: 一、手动修改 \1. date命令:查看当前时间 \2. date -s 时分秒 :修改时间 还需要把日期改过来 \3. date -s 完整日期时间(YYYY-MM-DD hh:mm[:ss]):修改日期、时间 时间要用双引号括起来,否则报错 手动修改会存在一定的时间误 ...
分类:
系统相关 时间:
2021-01-25 11:23:52
阅读次数:
0
