继续分享xss tips的。 前几天php代码安全审查,也发现了相同的问题,在xss过滤上,很多人会陷入一个误区。 看我以往文章会发现,全局的实体编码是不安全的,因为实体编码不会处理\,强转url编码是相对安全的,经常写java,都知道,java在处理用户输入的特殊字符串,会用Escaper这个第三 ...
分类:
其他好文 时间:
2021-05-04 16:43:00
阅读次数:
0
索引优化 1.1SQL性能下降的原因 查询语句写的很不好; 索引失效 单值索引 select * from user where name=''; create index idx_user_name on user(name); 复合索引 select * from user where name ...
分类:
其他好文 时间:
2021-04-20 14:31:28
阅读次数:
0
不会忽略的意思是shell当做特殊字符处理 1. 单引号 会忽略其中的所有特殊字符 包含空格 需要用单引号 2. 双引号 不会忽略$ 反引号 \ 3. 反斜线 转义 续行 4. 反引号 使用命令输出代替 $() 执行命令 这种写法要比反引号要好 ...
分类:
系统相关 时间:
2021-04-16 12:03:08
阅读次数:
0
1,eval方式解析 恐怕这是最早的解析方式 function strToJson(str){ var json = eval('(' + str + ')'); return json; } 2,new Function形式 比较怪异 function strToJson(str){ var js ...
分类:
Web程序 时间:
2021-04-14 11:48:16
阅读次数:
0
1,google基本语法 google中不分大小写,通配符 * 表示一个单词或字符, 使用双引号包含强制搜索, + - | inurl:搜索包含特定字符的URL。 inurl:admin.jsp intext:网站正文包含指定字符串 intext:安全测试 site:显示某个域名的所有页面 site ...
分类:
其他好文 时间:
2021-04-10 13:23:04
阅读次数:
0
2.1.C语言的汇编表示 c语言代码 int plus(int x,int y) { return 0; } void main() { __asm { mov eax,eax } //调用函数 plus(1,2); return; } 汇编代码 1: 2: int plus(int x,int y ...
分类:
编程语言 时间:
2021-04-10 12:50:12
阅读次数:
0
1. 前言 HTML作为描述网页结构的超文本标记语言,在任何项目一直有着广泛的应用。本文档的目标是使HTML代码风格保持一致,容易被理解和被维护。 2 .代码风格 2.1 缩进与换行 [强制] 使用 4 个空格做为一个缩进层级,不允许使用 2 个空格 或 tab 字符。 示例: <!-- good ...
分类:
Web程序 时间:
2021-04-09 13:35:43
阅读次数:
0
数据类型--char 一、char 1.1 char占用2个字节 char取值范围:【0~65535】 char采用unicode编码方式 char类型的字面量用单引号括起来 char可以存储一个汉字 1 public class Test{ 2 3 public static void main( ...
分类:
编程语言 时间:
2021-04-09 13:22:22
阅读次数:
0
idtitleattr 1 李白 {“banji”:“1班”,“xueduan”:“初三”,“xuexiao”:“某某一中”,“jiaoshi_id”:“11,12”} 取值:json_extract(json字段,"$.key值"); 取学校: select json_extract(attr," ...
分类:
数据库 时间:
2021-04-05 12:44:17
阅读次数:
0
在动态页面语言中(如jsp),js变量赋值时常会用到EL表达式,而当值含义单引号或双引号时,就会解析出错。 解决方案: 先翻译为编码形式,然后解码(目前最简易方案) var name = unescape('${name.replaceAll("\'","%27").replaceAll("\"", ...
分类:
Web程序 时间:
2021-03-15 10:40:53
阅读次数:
0
