一、后台登录连试'or'='or'的机会都没有，就会出现限制，如下的js

此时可把该登录页面源代码拷贝至本地去掉JS，再进行提交。

二、上传图片时，弹出提示框，只能上传gif和jpg格式的文件。右键源代码看看，如果你是幸运的，又看见了一段JavaScript正好是限制上传文件名称的时候这就来戏了。

同样本地保存页面，去掉JS，再提交。想传什么格式都行，大道通了。其实漏洞都只在于JavaScript的局限性。