存储型XSS漏洞

存储型XSS漏洞跟反射型形成的原因一样，不同的是存储型XSS下攻击者可以将脚本注入到后台存储起来，构成更加持久的危害，因为存储型XSS也称“永久性”XSS

演示：

先任意输入数据，提交数据，留言成功保留

按照概述的思路进行测试，输入特殊字符

成功有回显，查看前端源码

输出到了P标签里，看起来没有做任何的过滤和转义，然后尝试一个简单的弹窗，说明刚才输入的留言已经被存进了数据库里，所以每次刷新页面都会相同的弹窗，显而易见存储型的危害性更大

源码分析：

先是一个输入的表单，然后判断输入里面有没有对应的Message以及是否为空，然后对其进行转义，这里主要是防SQL注入，暂且不表。然后通过insert把message直接插入到表里，也就是存到后台。

然后一个select把表里的所有留言查出来，然后循环一下把留言读出来并显示在前端上，以上便是主要代码的作用

over.