路由蛮清晰的,直接开始

可能存在的sql注入

我在

里面看到他所在的路由地址

查看本地原码的时候发现

这里 仅仅使用了 strip_tags提取tablename的值,并且tablename可控,所以就猜测可能存在sql注入

但是下面的这行限制只能存在数字和字母,以及下划线,并且必须是字母开头

但是我一时没想到只有数字和字母的sql语句

xss and upload?

在后台设置了lv1可发布内容之后,在发布点发现两个功能点,查看xss的发现限制了

其中的strip_tags删除tablename输入中的所有php标签和html标签

后面使用了trim清理alias输入的开头和结尾的空格

这里避免了xss漏洞

而另一个

这里面的通过handle_upload_types设置允许伤处啊你的文件类型以及参数

里面设置了可以传照片视频docxppt以及表格等等,但是不然上传php以及txt

后面使用了

删除原来的上传文件的地址并设置了新的地址避免目录遍历

我尝试了使用文件包含jpg啥的都不行