跨站脚本攻击(xss)-简单的注入js攻击

攻击一个简单的输入评论页面，提交有关js数据后，页面会一直弹出一些信息。

    connect_error) {
        die("连接失败: " . $conn->connect_error);
    }
    if ($_POST) {
        // mysqli_select_db($conn , 'huike');
        $title=$_POST['title'];
        $content=$_POST['content'];
        //准备sql语句
        $sql = "insert into comments(title,content) values('$title','$content')";
        //发送sql语句
        mysqli_query($conn , $sql);
        echo "
        
        ";
    }
    ?>
    
    
    

    
模拟跨站攻击
    

    

        

            
Your Comment
            

                Nick Name:
                

                
            
            

                Comment:
                

                
            
            

                
            
            

                
Comments
            
            query($sql);
                if ($result->num_rows > 0) {
                    // 输出数据
                    while($row = $result->fetch_assoc()) {
                        echo "
 标题： " . $row["title"]. "
 内容：" . $row["content"]. "
";
                    }
                } else {
                    echo "没有任何要显示的内容哦";
                }
            ?>
        
    

页面中所用到的数据库自建。
当输入

提交后，每次刷新页面，都会弹出 1 的对话框！