本文共 1924 字，大约阅读时间需要 6 分钟。

Security Level: low

   ' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' );    //mysql_close(); } ?>

先来看看这些函数

简单来说trim是去空，stripslashes是删除由 addslashes() 函数添加的反斜杠 稍微审计，除了mysqli_real_escape_string函数对传入的字符串进行过滤，其余都没有处理，尝试直接在message处注入XSS

Security Level: medium

   ', '', $name );     $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));     // Update database     $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";     $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '
' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );    //mysql_close(); } ?>

先看看这些函数

传入的message都给这些函数过滤了一遍，防御性能可谓是极强，但是name缺仅仅给了个<script>转成空，我们可以从name参数下手 但首先我们需要把maxlength改一下，html限制了最大字符数 源码：

我们可以删除该属性或者将该数值改大

然后在name处注入XSS

成功注入，图片就不放了，跟上图一样

Security Level: high

   ' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' );    //mysql_close(); } ?>

可以看到与上一个难度的区别就在于将过滤换成了正则，顺便附上反射型注入文章的链接，这里直接写payload不再赘述：

在name处注入XSS：

成功注入

Security Level: impossible

   prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );     $data->bindParam( ':message', $message, PDO::PARAM_STR );     $data->bindParam( ':name', $name, PDO::PARAM_STR );     $data->execute(); } // Generate Anti-CSRF token generateSessionToken(); ?>

可以看到impossible难度里面，message的过滤强度同样照应在了name上。

存储型注入许多地方与反射型无异，如果有看不懂或者不会的地方，不妨看看我的反射型文章：

转载地址：http://uvbwk.baihongyu.com/