常见漏洞

1、SQL注入

2、文件包含漏洞
学习过PHP，应该对include()，include_once()，require()，require_once() 有所了解，具体请看：
文件包含漏洞学习总结：https://www.jianshu.com/p/3514f0fd79f7

3、命令执行，代码执行
Web渗透测试中命令执行漏洞详解
实际可以在dvwa平台上操作。

4、文件上传漏洞
文件上传漏洞主要是上传webshell，获取网站权限。 https://www.jianshu.com/p/5ebba0482980

5、XSS
学XSS要学会javascript，xss又分为反射型、存储型、DOM型xss，是由于对用户的输入过滤不严造成的，将这些恶意代码嵌入到网页中，当用户浏览的时候，其中的恶意代码就会执行。
XSS漏洞详解：https://www.cnblogs.com/Hydraxx/p/8530906.html
xss小游戏：https://xss.haozi.me/#/

6、CSRF
CSRF现在的危害越来越小，而且防范也非常容易，但是必要的漏洞原理还是要学习。

7、SSRF
SSRF是通过服务器端去发送请求，可以执行访问内网，探测端口等敏感操作。
SSRF漏洞的利用与学习：https://uknowsec.cn/posts/notes/SSRF%E6%BC%8F%E6%B4%9E%E7%9A%84%E5%88%A9%E7%94%A8%E4%B8%8E%E5%AD%A6%E4%B9%A0.html

8、XXE
一篇文章带你理解漏洞之 XXE 漏洞： https://www.k0rz3n.com/2018/11/19/%E4%B8%80%E7%AF%87%E6%96%87%E7%AB%A0%E5%B8%A6%E4%BD%A0%E6%B7%B1%E5%85%A5%E7%90%86%E8%A7%A3%20XXE%20%E6%BC%8F%E6%B4%9E/

9、反序列化
先学习PHP的反序列化，等后面学了java后，再学习java的反序列化漏洞。
四个实例递进php反序列化漏洞理解：https://blog.csdn.net/nzjdsds/article/details/82703639
最通俗易懂的PHP反序列化原理分析：https://www.freebuf.com/articles/web/167721.html

10、SSTI模板注入
服务端模板注入攻击 （SSTI）之浅析

11、变量覆盖
CTF之php变量覆盖漏洞：https://www.jianshu.com/p/a4d782e91852