Exp8 Web基础 2054302薛师凡

Exp8 Web基础

2054302薛师凡

一、 实践内容

Web前端:HTML基础

Web前端:javascipt基础

Web后端:MySQL基础

Web后端:PHP基础

SQL注入

XSS攻击测试

发帖和会话管理的实现

二、 基础问题

什么是表单?

答:①表单是一个包含表单元素的区域,表单元素是允许用户在表单中(比如:文本域、下拉列表、单选框、复选框等等)输入信息的元素,表单在网页中主要负责数据采集功能,一个表单有三个基本组成部分:表单标签、表单域、表单按钮;②表单标签

:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法;③表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等;④表单按钮:包括提交按钮、复位按钮和一般按钮,用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用表单按钮来控制其他定义了处理脚本的处理工作。

浏览器可以解析运行什么语言?

答:支持HTML(超文本标记语言)、XML(可扩展标记语言)以及Python、PHP、JavaScript、ASP等众多脚本语言。

WebServer支持哪些动态语言?

答:JavaScript、ASP、PHP、Ruby等脚本语言,ASP基于IIS WEB SERVER,是微软的服务器端脚本技术,PHP基于APACHE WEB SERVER,与ASP有几分类似,都是一种在服务器端执行的嵌入HTML文档的脚本语言。

三、实验过程

(一)环境配置

1.安装 Apache,直接用指令sudo apt-get install apache2

输入命令vi /etc/apache2/ports.conf更改apache2的监听端口号为 4302;

输入命令apachectl start打开apahce,并使用netstat -aptn查看端口号,确认apache正确开启,

(二)前端编程

使用cd /var/www/html在/var/www/html目录下编辑vi test.html

在firefox中输入:http://127.0.0.1:4302/test.html就能打开该网页。

因为没有上面代码里标出的一行中action指定的php文件,所以会出现not found的提示:

(三)javascript

(相关概念:JavaScript是一种广泛用于客户端Web开发的脚本语言,常用来给HTML网页添加动态功能,比如响应用户的各种操作。
文档对象模型(Document Object Model,简称DOM,是W3C组织推荐的处理可扩展标志语言的标准编程接口。
编写验证用户名和密码的规则:比如用户名和密码不能为空)vi test1.html

编了一个验证的函数,如果输入的用户名或者密码为空时,就弹出相应的对话框,然后在点击登录按钮时调用执行一遍这个函数,

(文字乱码问题在后面解决了)

(四)PHP测试

新建一个PHP测试文件vi /var/www/html/test.php输入如下:

"; ?>

用浏览器打开http://127.0.0.1:4302/test.php,可以看见如下界面,测试成功

(五)MySQL基础

开启sql服务/etc/init.d/mysql start

输入mysql -u root -p,并根据提示输入密码,默认密码为p@ssw0rd进入MySQL

此处可以修改自己的密码:
输入use mysql,选择mysql数据库
输入update user set password=PASSWORD("20154302") where user='root';
输入flush privileges;,更新权限

我们先使用create database xsf_test;建立一个数据库;
使用show databases;查看存在的数据库;使用use 库名;使用我们创建的数据库:

接着使用create table 表名 (字段设定列表);建立数据表,数据表是数据库中一个非常重要的对象,一个数据库中可能包含若干个数据表;

create table xsftable (username VARCHAR(20), password VARCHAR(32), telephone VARCHAR(11) );使用show tables查看存在的数据表:

使用insert into 表名 values('值1','值2','值3'...);插入数据;使用select * from 表名;

insert into xsftable values('xsf','4302','18810591677');

查询表中的数据:

我们还可以在MySQL中增加新用户,使用grant select(insert,update,delete) on 数据库.* to 用户名@登录主机 identified by "密码";

grant select,insert,update,delete on xsf_test .* to xsf2@localhost identified by "20154302";

指令,如图所示,增加新用户之后,退出,重新使用新用户名和密码进行登录,登录成功说明增加新用户成功:

后来学会了建立权限更高的用户
CREATE USER 'xsf5'@'%' IDENTIFIED BY '20154302';
GRANT ALL ON . to 'xsf2'@'%';

(六)php+mysql实现登录网页编写(代码)

在/var/www/html文件夹下输入vim login_test.html,编写登录网页。

在同样的目录下输入vim login.php,通过php实现对数据库的连接

{$query_str}
";*/ $mysqli = new mysqli("localhost", "root", "20154302", "xsf_test");//用户名,密码,数据库名 /* check connection */ if ($mysqli->connect_errno) { printf("Connect failed: %s\n", $mysqli->connect_error); exit(); } echo "connection ok!"; /* Select queries return a resultset */ if ($result = $mysqli->query($query_str)) { if ($result->num_rows > 0 ){ echo "
Wellcome login Mr/Mrs:{$uname}
"; } else { echo "
login failed!!!!
" ; } /* free result set */ $result->close(); } else echo "
can't match" ; $mysqli->close(); ?>

在浏览器中输入127.0.0.1/login.html,就可以访问自己的登陆页面啦,可惜过程及其艰难,屡次出错
1.0

2.0

用网上找的的代码解决了访问拒绝的问题,删除了默认密码用户。
mysql -u root -p
use mysql;
update user set plugin='' where user='root';
flush privileges;
exit
3.0

4.0

5.0

终于成功

还有,只要是中文就会出现乱码,怎么解决呢?

添加一行代码:

  

(七)SQL注入

SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
在用户名输入框中输入' or 1=1#,密码随意,这时SQL查询语句变为select * from test_table where username='' or 1=1#' and password='',#相当于注释符,会把后面的内容注释掉,or后跟着的1=1永远为真,所以必然登录成功

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。

将一张图片放在/var/www/html目录下,在用户名输入框输入,密码随意,就可以读取图片啦:

四、实验体会

本次实验对于一个完全没有学过网页设计的我来说确实非常痛苦,从头到尾一共花了一天半的时间,其中在数据库的时候也遇到各种难题,最终都成功解决了,虽然痛苦但是收获很大。
我应该考虑花一定的时间在W3school网站学习了一下,做到能看懂那些标签和大致的CSS,JS,php语句的意思,然后才能照葫芦画瓢,试着设计自己的网页啦。

posted @ 2018-05-21 13:21  xueshifan  阅读(171)  评论(0编辑  收藏