Sqli-labs靶场实战 源码做了修改，有的关卡把sql语句打印出来方便学习： echo $sql."</br>";，

SQL注入—联合注入 概述：所谓的SQL注入就是通过某种方式将恶意的SQL代码添加到输入参数中，然后传递到SQL服务器使其解析并执行的一种攻击

RCE漏洞 概述：由于程序中预留了执行代码或者命令的接口，并 且提供了给用户使用的界面，导致被黑客利用，控制服务器。 ​ RCE漏洞危害1、获取服务

SQLMap 使用 GET型注入 1、判断是否存在注入假设目标注入点是 http://xxxxxxx?id=1，判断其是否存在注入的命令如下： 1 sqlmap.py -u http://xxxxxxx?id=1 当注入点

Xshell远程连接Kali 虚拟机的复制/粘贴的快捷键是：Ctrl+shift+C / Ctrl+shift+V ​ 设置root用户密码没设置过root用户密码的先设置

CSRF漏洞检测 用 pikachu靶场做演示 半自动检测 用BurpSuite检测登录账号 点击**“修改个人信息”**，开启抓包，将性别boy改成

XXE漏洞XXE漏洞——XML外部实体注入漏洞，通常允许攻击者查看应用程序服务器文件系统上的文件，并与应用程序本身可以访问的任何后端或外部系