客户端脚本植入的攻击步骤

1、攻击者注册普通用户后登陆网站

2、打开留言页面，插入攻击的 js 代码

3、其他用户登录网站（包括管理员），浏览此留言的内容

4、隐藏在留言内容中的 js 代码被执行，攻击成功

§

§

 

 

实例

数据库

CREATE TABLE `postmessage` (

  `id` int(11) NOT NULL auto_increment,

  `subject` varchar(60) NOT NULL default ”,

  `name` varchar(40) NOT NULL default ”,

  `email` varchar(25) NOT NULL default ”,

  `question` mediumtext NOT NULL,

  `postdate` datetime NOT NULL default ’0000-00-00 00:00:00′,

  PRIMARY KEY  (`id`)

) ENGINE=MyISAM  DEFAULT CHARSET=gb2312 COMMENT=’

’

使用者的留言  

AUTO_INCREMENT=69 ;

//add.php 插入留言

//list.php 留言列表

//show.php 显示留言