1.SQL注入

原理:

1).SQL命令可查询、插入、更新、删除等，命令的串接。而以分号字元为不同命 令的区别。（原本的作用是用于SubQuery或作为查询、插入、更新、删除……等 的条件式）

2).SQL命令对于传入的字符串参数是用单引号字元所包起来。（但连续2个单引 号字元，在SQL资料库中，则视为字串中的一个单引号字元）

3).SQL命令中，可以注入注解

澎湃新闻记者 蒲垚磊

科技正在改变体育。

科技是进步的最大动力，在足球领域也不例外。

在大数据和机器学习的帮助下，当今的足球世界早已和从前不可同日而语，从球员训练一直到观众的观赛，都已然发生了巨大的改变。

与亚马逊云服务（AWS）合作的德甲就是范例之一，在前者的帮助下，德甲得以向观众提供准确的实时统计分析数据。接受澎湃新闻记者（www.thepaper.cn）采访时，前德甲球员、勒沃库森体育总监西蒙·罗尔费斯（Simon Rolfes）坦言，这些数据不仅让观众和比赛距离更近，更为专业人士提供了诸多参考。

众所周知，我们一般将XSS分为三类，反射型、存储型、DOM型，反射型XSS这个基本可以说是没什么利用价值，因为它是不能留存下来的，你改变数据执行了一个临时的XSS，但这个数据没有存储到服务器、数据库中，不能再次展示给别人看，其他人进入同一页面请求服务器并不受你的脚本影响，DOM型XSS也是一样，它就是通过影响前端的DOM环境来执行一些js脚本，执行的脚本并没有留存下来，所以危害比较大的还是存储型XSS，也叫永久型XSS。

平常在我的渗透测试工作过程中，不管是什么类型的XSS问题，验证存在XSS问题也就js一小段脚本弹一个框，证明存在即可，但实际上，作为一名高级渗透测试人员肯定是要知道对于存储型XSS，针对这种漏洞，如何搭建环境接受跨站攻击获取的数据和利用的一整套流程。另外再补充下，只要是能让你输入的地方，留言、评论甚至URL上的参数等，你都可以试一下，还有验证XSS时候，不要只会一个<script>去alert，用<img>报错执行、<a>超链接执行javascript伪协议都可以，实际上将<、>这种特殊符号及编码过滤就已经能解决XSS很多问题了。

点击上方蓝字关注“公众号”

EPIRB的英文全称是emergency position indicating radio beacon，即紧急无线电示位标。

EPIRB的功能

EPIRB是一种能发射无线电信号的信标，利用本身发射的射频信号来表示自己的位置及状态，以便搜救单位能准确地确定它的位置。它是GMDSS对岸的报警装置。

EPIRB的启动方式分为人工启动和自动启动。

人工启动主要是对于救生艇上的人员， 为了在尽可能短的时间内获救，用人工打开释放装置，取出EPIRB后将绳索连接至救生艇上然后投入水中，水敏开关遇水导通后开始发射遇险报警信号。

在 JavaScript 语言中，有两种方式可以实现 Alert 弹窗，一种为使用浏览器内置的原生 alert() 函数，另外也可通过自定义 DOM 元素和 CSS 实现自定义弹窗。下文为您详细介绍这两种方式：

一、原生alert()方法