Member-only story
我最终通过这个演示搞懂了XSS和SQL注入
一个动手实验演示,让你再也忘不掉XSS和SQL注入的运行机制,并展示你应该立即应用的确切修复方法。
CodeByUmar 著
9分钟阅读 · 2025年11月19日
57
听听
分享
按下或点击可查看全尺寸图片
一个动手实验演示,让你再也忘不掉XSS和SQL注入的运行机制,并展示你应该立即应用的确切修复方法。
免费阅读,无付费墙
嘿 👋,不是Medium会员?
你可以在这里免费阅读全文:👉 阅读
引言
我以前总是用图表和幻灯片来解释XSS和SQL注入。听众会点头、记笔记,然后回到代码中,习惯却从未改变。
直到我构建了一个小型存在漏洞的应用,并在受控演示中对它进行攻击,一切才真正变得清晰。看着有效载荷在浏览器中运行,再看着精心构造的输入从数据库中泄露出一行行数据,抽象的警告变成了显而易见的反面模式。
本文将重现那个演示:存在漏洞的代码(前端+后端)、攻击者如何一步步构造有效载荷,以及你应该立即应用的修复方案。你将学到:
- 导致XSS和SQLi成为可能的最小漏洞代码
- 攻击者如何构造有效载荷以及这些载荷为何能成功
- 安全、可直接复制粘贴的修复方法(服务端+客户端) CSD0tFqvECLokhw9aBeRqluohDjQF+EBBE+zlB8OAbguf4e2D32vYeIUy80qVGuVpCjblarKb/sFocP+QZbtPEVlFYKHRo94sveKuGRSrONcZtoo+CnqT7GiriAyzIAeqM6rR3hsbOjFIjnTf7rNvA==
