hectoraaphrodite

SQL注入 + 如果直接将用户传入的数据作为参数使用字符串拼接的方式插入到SQL查询中，那么攻击者可以通过注入其他语句来执行攻击操作 + 攻击者输入“'or 1=1--” ```SQL

 	SELECT*FROM students WHERE password=''or 1=1--'；
 	
 	SELECT*FROM students WHERE password=''；drop table students；--'；
 	
 	SELECT * FROM Users WHERE Username='' AND Password=''
 	$username = 1' or '1' = '1
 	$password = 1' or '1' = '1
 	👇			
 	SELECT * FROM Users WHERE Username='1' OR '1' = '1' AND Password='1' OR '1' = '1'

XSS攻击

1. 反射型XSS攻击
   • 又称为非持久型攻击，
2. 存储型XSS
   • 又称持久型攻击
   • 如果服务器接收数据后未经处理就存储到数据库中，就又可能发生此风险
3. 主要防范措施时对用户输入的内容进行转义