php开发

这个课听着无聊

文件上传功能

是自己写的还是应用的别人的框架

文件下载

直接下载 和传参下载

文件删除i基本上碰不到了

文件写入

web漏洞核心 可控变量和特定函数

输入输出类安全问题

xss漏洞

反射:存储:dom

输入的内容直接显示出来

导致前端直接执行js代码

全局变量$_SERVER

数据包的所有请求头

csrf跨站点请求伪造

后台管理系统有多个文件页面,为了方便验证,一般会选用cookie或session进行验证
cookie:身份验证存储到客户端浏览器内
session:身份验证存储到服务端服务器内

未授权访问

登录后的页面没有验证是否登录成功

验证方式cookie,session

cookie:身份验证存储到客户端浏览器内
cookie安全:cookie修改伪造盗取
session:身份验证存储到服务端服务器内
session安全:会话劫持(session劫持)

验证码复用

先输入正确密码然后抓包保存

这个验证码可以一直用

js前端验证 在浏览器上进行的验证 威胁:浏览器可以在前端直接忽略

框架