我发现通过“检查元素”更改 css 值可以很方便地使用 google chrome 设置我的网页样式。
很多人可能已经知道这一点,但我最近发现我还可以编辑整个 html,例如(将div标签更改为a标签、添加内联 javascript、更改表单值等)
我做了一个简单的测试:
<?php
if(isset($_POST['select'])) echo $_POST['select'];
?>
<form enctype="application/x-www-form-urlencoded" action="selecttest.php" method="post">
<select name="select">
<option value="100">100</option>
</select>
<input type="submit" value="submit">
</form>
当我单击提交时,它会回显100。我将值更改为something通过谷歌浏览器inspect element单击提交并回显something。我试着把<a href="http://www.google.com">100</a>它作为价值。当我点击提交时,它会回显一个超链接100
这个功能不危险吗?我现在无法想象任何极其危险的事情,因为我还是编程新手,但我只是在想拥有多年经验的真正黑帽黑客可以用这么多的自由做些什么。现在我只是在想'只需过滤掉所有用户输入和你的保险箱'。
所以我的问题是,即使您过滤掉所有用户输入,此功能是否存在任何真正的实际威胁?