EXP8 Web基础

一、实践目标与内容

1. Web前端HTML

• 能正常安装、启停Apache。理解HTML，理解表单，理解GET与POST方法,编写一个含有表单的HTML。

1. Web前端javascipt

• 理解JavaScript的基本功能，理解DOM。编写JavaScript验证用户名、密码的规则。

1. Web后端：MySQL基础：正常安装、启动MySQL，建库、创建用户、修改密码、建表
2. Web后端：编写PHP网页，连接数据库，进行用户认证(1分)
3. 最简单的SQL注入，XSS攻击测试(1分)

• 功能描述：用户能登陆，登陆用户名密码保存在数据库中，登陆成功显示欢迎页面。

二、实践过程与步骤

1.Web前端HTML

1. 使用cd /var/www/html在/var/www/html目录下编辑vi test.html

2. 如下：

   <html>

   </br>

   <form name="4306" action="html form action.php" method="post">

   User:<input type="text" name="user20154306">

   Password:<input type="password"name="pw">

   <input type="submit" value="Submit">

   </form>

   <html>

3. 

    

4. 在firefox中输入：http://127.0.0.1:4306/test.html就能打开该网页。
   

5. 如果填写上内容并submit，因为没有上面代码里标出的一行中action指定的php文件，所以会出现not found的提示：
   

2.Web前端javascipt

 

1. 相关概念：JavaScript是一种广泛用于客户端Web开发的脚本语言，常用来给HTML网页添加动态功能，比如响应用户的各种操作。
2. 文档对象模型(Document Object Model，简称DOM，是W3C组织推荐的处理可扩展标志语言的标准编程接口。
3. 编写验证用户名和密码的规则：（比如用户名和密码不能为空）vi test1.html

1. 编了一个验证的函数，如果输入的用户名或者密码为空时，就弹出相应的对话框，然后在点击登录按钮时调用执行一遍这个函数，可以打开看看效果：
   
   

 

3.Web后端：MySQL基础

1. 开启sql服务/etc/init.d/mysql start

2. 输入mysql -u root -p，并根据提示输入密码，默认密码为p@ssw0rd进入MySQL
   

    

•  

   

1. 我们先使用create database lyx_test;建立一个数据库；使用show databases;查看存在的数据库；使用use 库名;使用我们创建的数据库：
   

    

    

2. 接着使用create table 表名 (字段设定列表);建立数据表，数据表是数据库中一个非常重要的对象，一个数据库中可能包含若干个数据表；使用show tables查看存在的数据表：
   
   

    

    

• 注意：此处一定要注意单引号和键盘Esc下面的那个符号不要写错了！！！

1. 使用insert into 表名 values('值1','值2','值3'...);插入数据；使用select * from 表名;查询表中的数据：
   

    

2. 我们还可以在MySQL中增加新用户，使用grant select(insert,update,delete) on 数据库.* to 用户名@登录主机 identified by "密码";指令，如图所示，增加新用户之后，退出，重新使用新用户名和密码进行登录，登录成功说明增加新用户成功：
   

    

 

---

4.Web后端：编写PHP网页，连接数据库，进行用户认证

 

1. 在/var/www/html文件夹下输入vim login.html，编写登录网页。代码
   

2. 在同样的目录下输入vim login.php，通过php实现对数据库的连接

3. <?php
   echo ($_GET["a"]);
   include($_GET["a"]);
   echo "This is lyx php test page!<br>";
   ?>

   
   

    

4. 在浏览器中输入127.0.0.1/login.html，就可以访问自己的登陆页面啦，这里套用了一个模板让页面看起来更加美观,登陆成功的样子如下：
   
    

 

 

 5. 最简单的SQL注入，XSS攻击测试

1. SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

• 在用户名输入框中输入' or 1=1#，密码随意，这时SQL查询语句变为select * from test_table where username='' or 1=1#' and password=''，#相当于注释符，会把后面的内容注释掉，or后跟着的1=1永远为真，所以必然登录成功
  

   

1. 跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。

• 将一张图片放在/var/www/html目录下，在用户名输入框输入<img src="20154306.jpg" />，密码随意，就可以读取图片啦
• 不知为何只显示connection ok，准备好的图片无法显示，只能欣赏一下了～
• 

   

三、基础问题回答

（1）什么是表单

• HTML 表单用于搜集不同类型的用户输入。表单是一个包含表单元素的区域。
  表单元素是允许用户在表单中（比如：文本域、下拉列表、单选框、复选框等等）输入信息的元素。
  表单使用表单标签（
  ）定义。

（2）浏览器可以解析运行什么语言。

• 浏览器可以解析运行HTML、XML，javascript等脚本语言，对于JS脚本,会调用JS脚本引擎来处理，浏览器本身不处理程序代码。

（3）WebServer支持哪些动态语言

• Javascript、PHP、Ruby等脚本语言