qq_43036356的博客

SQL Injection：就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

因为：mysql_connect() 在php5以后的版本中不在使用，使用mysqli_conncet()代替，准确的来说是mysql类被mysqli类代替，在php5+版本中可以同时使用mysql类和mysqli类。2、将解压出来的sqli 文件移动到，你的phpstudy的存放网站的www的根目录下。找到: sqli/sql-connections/db-creds.inc 文件。1、下载好后，解压出来。选择，刚刚下载好的低版本php。降低php的版本至php5+即可。3、修改sqli的配置信息。

所谓盲注就是在服务器没有错误回显的时候完成的注入攻击。服务器没有错误回显，对于攻击者来说缺少了非常重要的“调试信息”

​ XSS跨站脚本（Cross-Site Scripting，XSS）自1996年诞生以来，如今已经历十多年的演化。由于和另一种网页技术-层叠样式表（Cascading Style Sheets，CSS）的缩写一样，为了防止混淆，故把原本的CSS简称为XSS。

WEB应用程序通常会有文件上传的功能例如：在BBS发布图片、在个人网站发布ZIP压缩包、在招聘网站上发布DOC格式简历等。只要WEB应用程序允许上传文件，就有可能存在文件上传漏洞。在不对被上传的文件进行限制或者限制被绕过，该功能便有可能被利用于上传可执行文件、脚本到服务器上，从而进一步导致服务器沦陷。如何确认WEB应用程序是否存在上传漏洞呢？