生日快乐

电信天翼畅享 39 元套餐，15G 流量，200 分钟通话，无短信。

支持下楼主，我没记错的话你是饥人谷的讲师。

@closedevice black cat earlyreads

目前在按照这本书的方法学： https://book.douban.com/subject/26944296/

十个月了，下班业余时间学。目前在听读哈利波特原著。

@hhhhhh123 SQL 注入发生在用户的输入和数据库有交互的地方。比如查询商品信息。url 可能如下： https://xx.com/goods?id=1 ，id 参数是商品编号。用户传入不同的编号，页面上可以显示不同的商品信息。

对于不怀好意的用户(攻击者)，他们不会老老实实的只传编号，而是尝试传入攻击语句。由于编号会作为查询条件带入 sql 交予数据库去执行，所以把编号换成攻击语句，数据库也会执行攻击语句。这样就达到攻击的效果了。

只要是用户输入的东西，和数据库有交互的功能，而开发者也没有对用户传入的参数进行过滤和处理，都可能存在 SQL 注入漏洞。

SQL 注入漏洞的核心是通过用户的输入，控制原有的 sql 语句，达到攻击的效果。所以 sql 能做的事情，sql 注入都能做。这就是 SQL 注入的危害。

轻则泄露管理员用户和密码，直接进后台。重则通过 sql 直接写入后门文件直接控制网站。

@hhhhhh123 你仔细看路径，都是扫描的 php 文件，发 get ，判断文件是否存在。phpinfo.php 是攻击者经常使用的探针，攻击者利用网站漏洞，写入 phpinfo 文件，通过访问这个文件可以看到服务器的 php 配置信息。

你要自己测试的话，可以搭建一个 php 环境，写一个 phpinfo.php ，内容为<?php phpinfo(); ?>，访问该文件，就能看到服务器的详细配置了。

攻击者通过访问该探针，获取服务器的更多信息，找到有漏洞的组件进行进一步的攻击。

当然，对于网站后门，攻击者也喜欢写成 phpinfo.php 。

日志中，只是单纯的判断这些后门文件是否存在，所以可以初步断定为是云运营商安全组件的扫描。

如果是攻击者的扫描行为，路径中会包含攻击代码。比如 SQL 注入会有 and 1=1 或者是 and 1=2 之类的关键字，XSS 攻击会有<script>或者是</script>关键字。

从扫描的路径来看，应该是后门(webshell)扫描。目测是云厂商的安全组件在扫描，如果扫描到漏洞存在，会给你报警。

其实诸如这些篡改网页和电视台，以及电子公告屏幕的行为，代价是非常大的。除了博人眼球，制造舆论意外，没任何意义，很容易就暴露了。

真正国家之间的对抗，是可以让目标基础设施瘫痪的。比如震网病毒，就把伊朗的核设施破坏了。还比如某勒索组织，加密了美国的石油管道系统，让美国宣布国家进入紧急状态，当然让半个美国网络瘫痪也可以。

https://zhuanlan.zhihu.com/p/378291643
https://www.guancha.cn/internation/2021_05_10_590216.shtml?s=zwytt
https://baike.baidu.com/item/10%C2%B721%E7%BE%8E%E5%9B%BD%E7%BD%91%E7%BB%9C%E7%98%AB%E7%97%AA%E4%BA%8B%E4%BB%B6/20158055?fr=aladdin

关于这些高级黑客的攻击手法，可以看我司的书： https://www.qianxin.com/book/detail?book=5

我也贴一篇我写的文章。毕业那年的总结： https://wanglejie9.github.io/redleaves-blog/index.php/archives/31/index.html

安全应该交给安全部门来做，术有专攻。看样子，你们也没有安全编码规范，发版本前也没有代码审计，这事怪不到开发头上。

并且，入侵的攻击链都没排查出来，没有证据，就更无理取闹了。

也可以用 phpstudy ，如果只是展示出来测试一下的话。

宝塔面板，很容易的。

现在行情不好，做好心理预期。

我也是二本，可能没啥具体的建议。干了两年开发，只能说这一行太苦了。毕业去了四川省会，换了四五家公司，只有一家加班少一些。但也不保证能够准点下班，临近下班总会有事情耽搁。期间也动过考公的念头，考了一次，当炮灰了，只能说太卷。

我大学学生时代的梦想是找个好工作进名企，虽然现在也有同学去 jd 了，但我一点都不羡慕，看他朋友圈相片，加班到凌晨一点。钱多有怎样，都是拿命换的。

后来我去做安全了。换条赛道，感觉容易多了。不加班了，头发也长起来了，心情也舒畅了，钱还变多了。
但我觉得人活在世上，不能只为钱。

其实我想说的是，选择比努力更重要。我如果当程序员，竞争激烈，可能要百分之两百努力才能进名企。但我做安全，可能只需要百分之六十努力就能进名企。

如果楼主要选择一个方向，一定要选个竞争小的，一是避免内卷，二是更容易出成绩。

我也是主力用京东。目前是京东的会员，每月都有运费券，还可以免费领京东阅读 vip 。

淘宝买小东西和衣服鞋子的时候用一下。

@n30v1 具体哪家就不发论坛了，避免广告嫌疑。有需要加我 VX 私聊吧，base64：am9ld2FuZzByZw==