请求参数输入 <script>alert(/30141/)</script> 如提交有提示框,则未校验
2:sql注入
and 1=1 简单sql查询
3:页面输入项注入(测试一定要谨小慎微,不能放过任何输入项,严谨严谨,该测试的一定要测试,输入项包括各种工具、app)
对输入参数进行处理,建议过滤出所有以下字符:
[1] |(竖线符号)
[2] & (& 符号)
[3];(分号)
[4] $(美元符号)
[5] %(百分比符号)
[6] @(at 符号)
[7] '(单引号)
[8] "(引号)
[9] \'(反斜杠转义单引号)
[10] \"(反斜杠转义引号)
[11] <>(尖括号)
[12] ()(括号)
[13] +(加号)
[14] CR(回车符,ASCII 0x0d)
[15] LF(换行,ASCII 0x0a)
[16] ,(逗号)
[17] \(反斜杠)
4:密码不能明文传输