XML
- XML简介
- XML基本语法
- 基本元素
- XML DTD介绍
XML是被设计用来传输和存储数据,XML文档形成一种树结构,允许自定义的标签和文档结构。
ps:
HTML和他的区别在于html用来显示数据的;
<?xml version=1.0 encoding="UTF-8"?>
<node>
<to>Tove</to>
<from>JiangXi</from>
<heading>reminder</heading>
<body>Don't forget me!</body>
</node>
语法规则:
1、严格的必须有对应的闭合标签
2、XML对大小写敏感
3、XML必须正确的对应的嵌套
4、XML的属性值必须加上引号
5、实体引用:比如用的< >:使用 lt gt 代替
6、在XML中,空格会被保留
XML DTD可以验证XML是否是“合法的”;
- DTD介绍
- XML注入产生原理
DTD中的PCDATA是指会被解析器解析的文本
CDATA意思是字符数据,是不会被解析器解析的文本,其中的标签不会被当作标记对待,其中的实体也不会被展开。
内部实体:
<!IENTITY eneity"eneity-value">
外部实体:
<!IENTITY entity-name SYSTEM "URL/URI">
XML注入原理
简称XXE 全程:xml外部实体注入漏洞
触发点往往是可以上传xml文件的位置,没有对xml进行有效的过滤,导致可上传恶意的xml文件。
简单的xml漏单代码编写
- file_get_coutent函数介绍
- simplexli_load_string函数
- php://input
- XML注入回显 输出函数