[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xhoPMsmE-1663477021410)(images/LjZ9mqCMvT6xyFlqLIky-XBWvOo36KQpxc8Yp7agLdA.jpg)]
各框架模板结构:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-C5wrnBzg-1663477021410)(images/NcsQ1PiKwqmrfPlyk61ZDIuOA62PWLqF94DAZghxarg.png)]
区别jinjia2与twig
{{7*’7′}} 回显7777777 ==> Jinja2
{{7*’7′}} 回显49 ==> Twig
常见的模板引擎
- Smarty:Smarty 一种很老的PHP模板引擎了, 使用的比较广泛
- Twig: 是来自于Symfony的模板引擎,它非常易于安装和使用。它的操作有点像Mustache和 liquid。
- Blade: 是 Laravel 提供的一个既简单又强大的模板引擎。
和其他流行的 PHP 模板引擎不一样,Blade 并不限制你在视图中使用原生 PHP代码。所有 Blade 视图文件都将被编译成原生的 PHP 代码并缓存起来,除非它被修改,否则不会重新编译,这就意味着 Blade基本上不会给你的应用增加任何额外负担。
- JSP
- FreeMarker
FreeMarker是一款模板引擎:即一种基于模板和要改变的数据,并用来生成输出文本(HTML网页、电子邮件、配置文件、源代码等)的通用工具。它不是面向最终用户的,而是一个Java类库,是一款程序员可以嵌入他们所开发产品的组件。 -
Velocity
Velocity作为历史悠久的模板引擎不单单可以替代JSP作为JavaWeb的服务端网页模板引擎,而且可以作为普通文本的模板引擎来增强服务端程序文本处理能力。 -
Jinja2:flask jinja2 一直是一起说的,使用非常的广泛
- django
django 应该使用的是专属于自己的一个模板引擎,我这里姑且就叫他 django,我们都知道django 以快速开发著称,有自己好用的ORM,他的很多东西都是耦合性非常高的,你使用别的就不能发挥出 django 的特性了
- tornado
tornado 也有属于自己的一套模板引擎,tornado 强调的是异步非阻塞高并发
一、模板注入与常见Web注入
就注入类型的漏洞来说,常见 Web 注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。注入漏洞的实质是服务端接受了用户的输入,未过滤或过滤不严谨执行了拼接了用户输入的代码,因此造成了各类注入。下面这段代码足以说明这一点:
`plain
// SQL 注入
$query=”select * from sometable where id=”.$_GET[‘id’];
mysql_query($query);
Original: https://blog.csdn.net/m0_52432374/article/details/126916404
Author: poirotl
Title: ssti总结
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/750178/
转载文章受原作者版权保护。转载请注明原作者出处!