1.sql注入
1)通过用户名输入 语法 :用户名‘or‘ -- 密码任意 (通过sql语法注释掉密码来进行登录)
2)get请求地址id=3 and 1<>1 union select password from user where ‘1‘=‘1 (查出密码)
3)sqlmap 待搜索
4)防范:1.限制符号 2限制输入长度3.限制输入类型
在mysql.ini 文件下开启日志,格式 在最后一行写 log=c:/mysql.log
2.xsrf 攻击
原文:http://www.cnblogs.com/xiaoyii/p/6701966.html