【转载】好站: SQL Injection/XSS Cheat Sheet

二月 7th, 2012 发表评论 阅读评论

看到一篇文章里面不少有用的资料,本着拿来主义的精神转载如下:

最近很流行 Cheat Sheet, 把一些常用該知道的東西整理好的小抄(或許也可以說是懶人包?), 印出來立在桌邊, 不過印超過兩張就發現桌子沒地方放, 好像也蠻頭大的.. XD

今天正巧看到一篇不同於其它 Cheat Sheet 的文章: SQL Injection Cheat Sheet,這篇文章把常用的 SQL Injection的方法都列出來, 來看 SQL Injection 的危險程度(針對 MySQL, SQL Server, PostgreSQL, Oracle... 等).

不曉得 SQL Injection 是什麼, 可以看 M$ 的解說:SQL Injection (資料隱碼) - 駭客的 SQL填空遊戲及應用... XD

 順手整理 Cheat Sheet:

  • Cheat Sheets
  •  - 多種程式語言 Cheat Sheet, 輸出格式統一,印出來也很漂亮

  • XSS 筆記
  •  - 上面英文的不想看, 就看這個好了.. XD

既然都有了 SQL Injection, 那當然也得要有 XSS, 先看一些做法及說明:

PHP 少用 PHP_SELF, 或最好別用 PHP_SELF, 可看下述討論:

不過要防範也不是那麼困難, 總之, 沒有處理過的字串, 要轉成 HTML 輸出前, 要先經過 htmlentities/htmlspecialchars 處理就可以了.

總結: XSS 就是只要能在你頁面 Alert JS, 就能幹很多壞事(之前有寫一些 Demo Code,改天找到再放出來), 再來一樣是 Cheat Sheet 如下(壞人就是這樣子玩你的站的)...

PS: 網路上很多壞人呀~~ 很危險的~... XD

原文地址:http://blog.longwin.com.tw/2007/03/xss_sql_injection_cheat_sheet_20070317/

分类: 标签: Cheatsheet