第一,先判断用户是否存在,
第二,判断是否有权限,
第二,读取资料,memberid不为空的第一组
然后在load的时候 在处理是否是最高管理等级,和上一级的处理
列表的时候判断,还在在搜索的进修判断,
审核的时候,
判断两个
一个判断,写两个表,
加个pid去判断
最高权限登入,和非最高权限登入!
第二,判断是否有权限,
第二,读取资料,memberid不为空的第一组
然后在load的时候 在处理是否是最高管理等级,和上一级的处理
列表的时候判断,还在在搜索的进修判断,
审核的时候,
判断两个
一个判断,写两个表,
加个pid去判断
最高权限登入,和非最高权限登入!
http://ha.ckers.org/xss.html
就是上面的网址进去,里面有很多!
这里有新一代的攻击!
其中就有不包'的攻击!看下面的评论就知道了!
http://www.cnblogs.com/BenjaminYao/archive/2010/07/09/1774074.html
其他漏洞
标签<body >有个属性"onload”,它会把属性中的值直接解析为javascript脚本,而不需要"<script></script>”或"javascript:”。据说淘宝曾经因为不知道这个漏洞,而导致上万的用户受到损失。
就是上面的网址进去,里面有很多!
这里有新一代的攻击!
其中就有不包'的攻击!看下面的评论就知道了!
http://www.cnblogs.com/BenjaminYao/archive/2010/07/09/1774074.html
其他漏洞
标签<body >有个属性"onload”,它会把属性中的值直接解析为javascript脚本,而不需要"<script></script>”或"javascript:”。据说淘宝曾经因为不知道这个漏洞,而导致上万的用户受到损失。
