1.输入框
sql注入
测试直接在输入框输入1' ,看sql会不会拼接出错
xss攻击 csrf攻击
测试直接在输入框输入<script>alert(123)</script>提交 看页面解析是否变成代码取执行了
2.地址
查看修改值 是否可以写入html标签 来钓鱼csrf攻击
如:
然后把这个地址给别人 a标签链接可以换成自己写好程序的链接,然后用户点击了就执行了我写的程序了
也可以在地址后面写上
/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E
试了火狐ok
看会不会执行 原理:http://www.w3school.com.cn/php/php_form_validation.asp