EXP8 Web基础

一、实践目标与内容

  1. Web前端HTML
  • 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。
  1. Web前端javascipt
  • 理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。
  1. Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表
  2. Web后端:编写PHP网页,连接数据库,进行用户认证(1分)
  3. 最简单的SQL注入,XSS攻击测试(1分)
  • 功能描述:用户能登陆,登陆用户名密码保存在数据库中,登陆成功显示欢迎页面。

二、实践过程与步骤

1.Web前端HTML

    1. 使用cd /var/www/html在/var/www/html目录下编辑vi test.html

    2. 如下:

      <html>

      </br>

      <form name="4306" action="html form action.php" method="post">

      User:<input type="text" name="user20154306">

      Password:<input type="password"name="pw">

      <input type="submit" value="Submit">

      </form>

      <html>

    3.  

    4. 在firefox中输入:http://127.0.0.1:4306/test.html就能打开该网页。

    5. 如果填写上内容并submit,因为没有上面代码里标出的一行中action指定的php文件,所以会出现not found的提示:

2.Web前端javascipt

 

  1. 相关概念:JavaScript是一种广泛用于客户端Web开发的脚本语言,常用来给HTML网页添加动态功能,比如响应用户的各种操作。
  2. 文档对象模型(Document Object Model,简称DOM,是W3C组织推荐的处理可扩展标志语言的标准编程接口。
  3. 编写验证用户名和密码的规则:(比如用户名和密码不能为空)vi test1.html
    1. 编了一个验证的函数,如果输入的用户名或者密码为空时,就弹出相应的对话框,然后在点击登录按钮时调用执行一遍这个函数,可以打开看看效果:

 

3.Web后端:MySQL基础

  1. 开启sql服务/etc/init.d/mysql start

  2. 输入mysql -u root -p,并根据提示输入密码,默认密码为p@ssw0rd进入MySQL

     

  •  

     

  1. 我们先使用create database lyx_test;建立一个数据库;使用show databases;查看存在的数据库;使用use 库名;使用我们创建的数据库:

     

     

  2. 接着使用create table 表名 (字段设定列表);建立数据表,数据表是数据库中一个非常重要的对象,一个数据库中可能包含若干个数据表;使用show tables查看存在的数据表:

     

     

  • 注意:此处一定要注意单引号和键盘Esc下面的那个符号不要写错了!!!
  1. 使用insert into 表名 values('值1','值2','值3'...);插入数据;使用select * from 表名;查询表中的数据:

     

  2. 我们还可以在MySQL中增加新用户,使用grant select(insert,update,delete) on 数据库.* to 用户名@登录主机 identified by "密码";指令,如图所示,增加新用户之后,退出,重新使用新用户名和密码进行登录,登录成功说明增加新用户成功:

     

 


4.Web后端:编写PHP网页,连接数据库,进行用户认证

 

  1. /var/www/html文件夹下输入vim login.html,编写登录网页。代码

  2. 在同样的目录下输入vim login.php,通过php实现对数据库的连接

  3. <?php
    echo ($_GET["a"]);
    include($_GET["a"]);
    echo "This is lyx php test page!<br>";
    ?>


     

  4. 在浏览器中输入127.0.0.1/login.html,就可以访问自己的登陆页面啦,这里套用了一个模板让页面看起来更加美观,登陆成功的样子如下:

     

 

 

 5. 最简单的SQL注入,XSS攻击测试

  1. SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
  • 在用户名输入框中输入' or 1=1#,密码随意,这时SQL查询语句变为select * from test_table where username='' or 1=1#' and password=''#相当于注释符,会把后面的内容注释掉,or后跟着的1=1永远为真,所以必然登录成功

     

  1. 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。
    • 将一张图片放在/var/www/html目录下,在用户名输入框输入<img src="20154306.jpg" />,密码随意,就可以读取图片啦
    • 不知为何只显示connection ok,准备好的图片无法显示,只能欣赏一下了~
    •  

三、基础问题回答

(1)什么是表单

  • HTML 表单用于搜集不同类型的用户输入。表单是一个包含表单元素的区域。
    表单元素是允许用户在表单中(比如:文本域、下拉列表、单选框、复选框等等)输入信息的元素。
    表单使用表单标签(
    )定义。

(2)浏览器可以解析运行什么语言。

  • 浏览器可以解析运行HTML、XML,javascript等脚本语言,对于JS脚本,会调用JS脚本引擎来处理,浏览器本身不处理程序代码。

(3)WebServer支持哪些动态语言

    • Javascript、PHP、Ruby等脚本语言
posted @ 2018-05-22 21:23  20154306  阅读(95)  评论(0编辑  收藏