Jo *_* E. 1 google-chrome google-chrome-devtools
通过'inspect element'更改css值,我发现通过谷歌浏览器设置网页样式非常方便.
很多人可能已经知道这一点,但我最近发现我也可以编辑整个html例如(将div标签更改为a标签,添加内联javascript,更改表单值等)
我做了一个简单的测试:
<?php
if(isset($_POST['select'])) echo $_POST['select'];
?>
<form enctype="application/x-www-form-urlencoded" action="selecttest.php" method="post">
<select name="select">
<option value="100">100</option>
</select>
<input type="submit" value="submit">
</form>
当我点击提交它回声100.我将值更改为something通过谷歌浏览器inspect element点击提交和回声something.我试着把它<a href="http://www.google.com">100</a>作为价值.当我点击提交时,回显一个超链接100
这个功能不危险吗?我现在无法想象任何非常危险的东西,因为我还是编程的新手,但我只是想到具有多年经验的真正的黑帽黑客可以做多少自由.现在我只想'过滤掉所有用户输入和你的安全'.
所以我的问题是,即使您过滤掉所有用户输入,这个功能是否存在真正的实际威胁?
你不应该过多担心DevTools,因为用户浏览器的任何更改都是本地的.您应该担心任何传入的网络数据,例如GET或POST请求的内容.
作为程序员,您应该始终验证从浏览器获得的输入,确保它在您预期的值范围内.
| 归档时间: |
|
| 查看次数: |
12523 次 |
| 最近记录: |