SQL：

所謂SQL註入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，

最終達到欺騙服務器執行惡意的SQL命令。具體來說，它是利用現有應用程序，將（惡意的）SQL命令

註入到後臺數據庫引擎執行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全

漏洞的網站上的數據庫，而不是按照設計者意圖去執行SQL語句。 比如先前的很多影視網站泄露VIP會員密碼大多就是

通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL註入式攻擊．

介紹轉自百度百科：https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5/150289?fr=aladdin

就比如，原本通過鏈接查詢我的賬號，然後卻通過sql命令卻查到了管理員賬號

這種漏洞常用於提權（shell）

當然這種漏洞前些年特別流行，而現在卻不盡人意，很多站點都挖不出來

XSS：

XSS攻擊全稱跨站腳本攻擊，是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆，故將跨站腳本攻

擊縮寫為XSS，XSS是一種在web應用中的計算機安全漏洞，它允許惡意web用戶

將代碼植入到提供給其它用戶使用的頁面中。

介紹轉自百度百科：https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5/150289?fr=aladdin

簡單理解的話，就是通過過濾掉原本該執行的然後通過java代碼實現腳本自動運行.

這種呢也是，危害也是大的，早些年被認為只能用於alert（“xss”）這樣的測試

直到後期網絡安全相關方面人員才認識到危害

這種呢現在也比較少了

CSRF:

CSRF（Cross-site request forgery）跨站請求偽造，也被稱為“One Click Attack”或者Session Riding，通常縮寫為CS

RF或者XSRF，是一種對網站的惡意利用。盡管聽起來像跨站腳本（XSS），但它與XSS非常不同，XSS利用站點內

的信任用戶，而CSRF則通過偽裝成受信任用戶的請求來利用受信任的網站。與XSS

行（因此對其進行防範的資源也相當稀少）和難以防範，所以被認為比XSS更具危險性。

介紹轉自百度百科：https://baike.baidu.com/item/CSRF

簡單來說就是單用戶點擊鏈接時會執行鏈接的操作，一般是因為沒有驗證來者（Referer）造成的

就比如A用戶買了個商品，支付啦100元

B用戶點擊了A用戶的鏈接以後就會去執行A用戶執行的操作

這種漏洞存在的危害性也比較大，並且這種漏洞現在存在的也較多

文件上傳漏洞：

簡單介紹sql xss csrf 和文件上傳漏洞