1:xss攻击

请求参数输入   <script>alert(/30141/)</script>    如提交有提示框,则未校验

2:sql注入

and 1=1  简单sql查询  

3:页面输入项注入(测试一定要谨小慎微,不能放过任何输入项,严谨严谨,该测试的一定要测试,输入项包括各种工具、app)

对输入参数进行处理,建议过滤出所有以下字符:

[1] |(竖线符号)

[2] & (& 符号)

[3];(分号)

[4] $(美元符号)

 [5] %(百分比符号)

[6] @(at 符号)

[7] ‘(单引号)

[8] “(引号)

[9] \’(反斜杠转义单引号)

[10] \”(反斜杠转义引号)

[11] <>(尖括号)

[12] ()(括号)

[13] +(加号)

[14] CR(回车符,ASCII 0x0d)

[15] LF(换行,ASCII 0x0a)

[16] ,(逗号)

[17] \(反斜杠)

4:密码不能明文传输

 

版权声明:本文为zhanghuanfree原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/zhanghuanfree/p/13047699.html