mysql注入基础
测试方法在发现有可控参数的地方使用sqlmap进行SQL注入的检查或者利用,也可以使用其他的SQL注入工具,简单点可以使用手工测试。推荐使用burpsuite的sqlmap插件
修复建议采用 sql 语句预编译和绑定变量,是防御sql的最佳方法
所有查询语句都使用是数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户变量嵌入sql语句中。
对进入数据库的特殊字符进行转义过滤,或者编码处理
确认每种数字的类型,比如数字型的数据必须是数字,数据库中的存储字段必须是int型
数据长度应该严格规定,能在一定程度上防止比较长的sql注入无法正确允许
网站每个数据层的编码统一,建议全部使用UTF-8,上下层编码不一致有可能导致一些过滤模型被绕过
严格限制网站用户的数据库权限,给用户提供仅仅满足其工作的权限,从而最大限度减少注入攻击
避免网站显示数据库错误信息,比如类型错误、字段不匹配等
mysql相关知识mysql是一种服务型数据库,进行统一管理
在mysql5版本之后,mysql默认在数据库中存放一个叫information_schema的库,这个库有很多表,重点是columns、t ...
python正则表达式
python正则表达式常用正则表达式操作符
操作符
说明
实例
.
表示任何单个字符
[]
字符集,对单个字符给出取值范围
[abc]表示a、b、c,[a-z]表示a到z的单个字符
非字符集,对单个字符给出排除范围
abc表示非a或b或c的单个字符
*
前一个字符的0次或无穷次扩展
abc*表示ab、abc、abcc、abccc等
+
前一个字符的1次或无限次扩展
abc+表示abc、abcc、abccc等
?
前一个字符的0次或1次扩展
abc?表示ab、abc
\
左右表达式各一个
abc\
def表示abc、def
{m}
扩展前一个字符m次
ab{2}c表示abbc
{m,n}
扩展前一个字符m至n次(含n)
ab{1,2}c表示abc、abbc
^
匹配字符串开头
^abc表示abc且在一个字符串的开头
$
匹配字符串结尾
abc$表示abc且在一个字符串的结尾
()
分组标记,内部只能使用\
操作符
(abc)表示abc,(abcldef)表示abc、def
\d
数字,等价于[0-9]
\w
单词字 ...
前端基础
什么是 web Web 的本意是网和网状物,现在被广泛译作网络、万维网或互联网等技术领域。它是一种基于超文本方式工作的信息系统。作为一个能够处理文字、图像、声音和视频等多媒体信息的综合系统,它提供了丰富的信息资源,这些信息资源通常表现为以下 3 种形式。
工作流程 Web 的工作流程大致可以分为以下 4 个步骤。
(1)用户在浏览器中输入 URL 地址(即统一资源定位符),或者通过超链接方式链接到一个网页或者网络资源后,浏览器将该信息转换成标准的 HTTP 请求发送给 Web 服务器。
(2)当 Web 服务器接收到 HTTP 请求后,根据请求内容查找所需信息资源。
(3)找到相应资源后,Web 服务器将该部分资源通过标准的 HTTP 响应发送回浏览器。
(4)浏览器将经服务器转换后的 HTML 代码显示给客户端用户。——《jQuery 从入门到精通》第 1 章 Web 应用开发概述
发展历程好的,已为您补全 Web 发展历程的内容。
发展历程静态文档阶段(web 1.0)早期的网页内容是静态的,主要由 HTML 编写。服务器仅作为文件存储和传输的角色,将固定的 HTML 文件发送给 ...
学习路线图
网络安全学习原子化路线图:从入门到精通阶段一:IT 基础与安全思维奠基 (Foundation)导语: 在建造一座坚不可摧的堡垒之前,你必须首先成为一名合格的建筑师。这个阶段的目标是让你深刻理解构成现代 IT 世界的基石——网络、操作系统和编程。忽略这一阶段,后续的所有安全知识都将是无根之木。
模块 1.1:计算机网络核心学习目标:深刻理解数据在网络中如何流动,为后续所有网络相关的安全学习打下坚实基础。
原子知识点:
OSI 七层模型与 TCP/IP 四层模型: 掌握每一层的定义、功能和代表性协议。
实践建议: 使用 Wireshark 抓包分析,在真实的网络流量中识别并对应每一层的数据包结构。
IP 地址与子网划分: 理解 IPv 4/IPv 6 地址、子网掩码、网关、CIDR 表示法。
实践建议: 使用在线子网计算器进行大量练习,尝试为一个小公司规划 IP 地址方案。
核心网络协议: 深入理解 HTTP/HTTPS, TCP/UDP, DNS, ICMP, ARP 的工作原理和报文格式。
实践建议: 在 Wireshark 中,筛选并完整分析一次 HTTPS 请求的全过程( ...



