漏洞小知识概况

1.lfi(文件包含)   是php漏洞

文件包含（Local File Include）是php脚本的一大特色，程序员们为了开发的方便，常常会用到包含。比如把一系列功能函数都写进fuction.php中，之后当某个文件需要调用的时候就直接在文件头中写上一句<?php include fuction.php?>就可以调用内部定义的函数。
本地包含漏洞是PHP中一种典型的高危漏洞。由于程序员未对用户可控的变量进行输入检查，导致用户可以控制被包含的文件，成功利用时可以使web server会将特定文件当成php执行，从而导致用户可获取一定的服务器权限。

2.sql注入

 SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

3.XSS攻击  (钓鱼网站)  将代码植入到使用的页面来钓鱼网站做(钓鱼网站)

 XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知

4  webshell 就是在其网站上留下的后门 简称webshell

注入 就是利用网站有调用数据库查询的页面去查询一些非正常的数据 比如后台密码之类的旁注 一台服务器不可能放目标站一个把，入侵下其他的然后转过头来想办法拿这个站的数据

5.rci (远程代码执行)