20154301 Exp8 Web基礎(chǔ)

仉鑫燁

---

一、 實踐內(nèi)容

Web前端：HTML基礎(chǔ)

Web前端：javascipt基礎(chǔ)

Web后端：MySQL基礎(chǔ)

Web后端：PHP基礎(chǔ)

SQL注入

XSS攻擊測試

發(fā)帖和會話管理的實現(xiàn)

---

二、 基礎(chǔ)問題

什么是表單？

答：①表單是一個包含表單元素的區(qū)域，表單元素是允許用戶在表單中（比如：文本域、下拉列表、單選框、復(fù)選框等等）輸入信息的元素，表單在網(wǎng)頁中主要負責數(shù)據(jù)采集功能，一個表單有三個基本組成部分：表單標簽、表單域、表單按鈕；②表單標簽<form>：這里面包含了處理表單數(shù)據(jù)所用CGI程序的URL以及數(shù)據(jù)提交到服務(wù)器的方法；③表單域：包含了文本框、密碼框、隱藏域、多行文本框、復(fù)選框、單選框、下拉選擇框和文件上傳框等；④表單按鈕：包括提交按鈕、復(fù)位按鈕和一般按鈕，用于將數(shù)據(jù)傳送到服務(wù)器上的CGI腳本或者取消輸入，還可以用表單按鈕來控制其他定義了處理腳本的處理工作。

瀏覽器可以解析運行什么語言？

答：支持HTML（超文本標記語言）、XML（可擴展標記語言）以及Python、PHP、JavaScript、ASP等眾多腳本語言。

WebServer支持哪些動態(tài)語言？

答：JavaScript、ASP、PHP、Ruby等腳本語言，ASP基于IIS WEB SERVER，是微軟的服務(wù)器端腳本技術(shù)，PHP基于APACHE WEB SERVER，與ASP有幾分類似，都是一種在服務(wù)器端執(zhí)行的嵌入HTML文檔的腳本語言。

---

三、實驗過程

（一）環(huán)境配置

1.安裝 Apache，直接用指令sudo apt-get install apache2。apache是kali下的web服務(wù)器，通過訪問ip地址+端口號+文件名稱可以打開對應(yīng)的網(wǎng)頁。

輸入命令vi /etc/apache2/ports.conf更改apache2的監(jiān)聽端口號；

輸入命令apachectl start打開apahce，并使用netstat -aptn查看端口號，確認apache正確開啟，如下圖所示：

---

（二）前端編程

使用cd /var/www/html在/var/www/html目錄下編輯vi test.html

在firefox中輸入：http://127.0.0.1:4301/test.html就能打開該網(wǎng)頁。

如果填寫上內(nèi)容并submit，因為沒有上面代碼里標出的一行中action指定的php文件，所以會出現(xiàn)not found的提示：

---

（三）javascript相關(guān)

相關(guān)概念：JavaScript是一種廣泛用于客戶端Web開發(fā)的腳本語言，常用來給HTML網(wǎng)頁添加動態(tài)功能，比如響應(yīng)用戶的各種操作。

文檔對象模型(Document Object Model，簡稱DOM，是W3C組織推薦的處理可擴展標志語言的標準編程接口。

編寫驗證用戶名和密碼的規(guī)則：（比如用戶名和密碼不能為空）vi test1.html

<html> <head> <title>test</title> </head> <body> <table> <form method ="POST" action="#" name="frmLogin" > <tr> <td>Username：</td> <td><input type="text" name="username" value="Your name" size="20" maxlength="20" onfocus="if (this.value=='Your name') this.value='';" /></td> <td> </td> <td> </td> </tr> <tr> <td>Password：</td> <td><input type="password" name="password" value="Your password" size="20" maxlength="20" onfocus="if (this.value=='Your password') this.value='';" /></td> <td> </td> <td> </td> </tr> <tr> <td><input type="checkbox" name="zlogin" value="1">zidonglogin</td> </tr> <table> <tr> <td><input type="submit" name="login" value="Login" onClick="return validateLogin()"/></td> <td><input type="reset" name="rs" value="Reset" /></td> </tr></table> </form> </table> <script language="javascript"> function validateLogin(){ var sUserName = document.frmLogin.username.value ; var sPassword = document.frmLogin.password.value ; if ((sUserName =="") || (sUserName=="Your name")){ alert("Please enter the user name!"); return false ; } if ((sPassword =="") || (sPassword=="Your password")){ alert("Please enter the password!"); return false ; } } </script> </body> </html>

編了一個驗證的函數(shù)，如果輸入的用戶名或者密碼為空時，就彈出相應(yīng)的對話框，然后在點擊登錄按鈕時調(diào)用執(zhí)行一遍這個函數(shù)，可以打開看看效果：

---

（四）PHP測試

新建一個PHP測試文件vi /var/www/html/test.php輸入如下：

<?php echo ($_GET["A"]);include($_GET["A"]);echo "php page 4301!<br>"; ?>

用瀏覽器打開http://127.0.0.1:4301/test.php，可以看見如下界面，測試成功

---

（五）MySQL基礎(chǔ)

開啟sql服務(wù)/etc/init.d/mysql start

輸入mysql -u root -p，并根據(jù)提示輸入密碼，默認密碼為p@ssw0rd進入MySQL

此處可以修改自己的密碼：

• 輸入use mysql，選擇mysql數(shù)據(jù)庫

• 輸入update user set password=PASSWORD("20154301") where user='root';

• 輸入flush privileges;，更新權(quán)限
  

我們先使用create database zxy_test;建立一個數(shù)據(jù)庫；使用show databases;查看存在的數(shù)據(jù)庫；使用use 庫名;使用我們創(chuàng)建的數(shù)據(jù)庫：

接著使用create table 表名 (字段設(shè)定列表);建立數(shù)據(jù)表，數(shù)據(jù)表是數(shù)據(jù)庫中一個非常重要的對象，一個數(shù)據(jù)庫中可能包含若干個數(shù)據(jù)表；使用show tables查看存在的數(shù)據(jù)表：

• 注意：此處一定要注意單引號和鍵盤Esc下面的那個符號不要寫錯了！！！

使用insert into 表名 values('值1','值2','值3'...);插入數(shù)據(jù)；使用select * from 表名;查詢表中的數(shù)據(jù)：

我們還可以在MySQL中增加新用戶，使用grant select(insert,update,delete) on 數(shù)據(jù)庫.* to 用戶名@登錄主機 identified by "密碼";指令，如圖所示，增加新用戶之后，退出，重新使用新用戶名和密碼進行登錄，登錄成功說明增加新用戶成功：

---

（六）php+mysql實現(xiàn)登錄網(wǎng)頁編寫（代碼）

在/var/www/html文件夾下輸入vim login.html，編寫登錄網(wǎng)頁。代碼

在同樣的目錄下輸入vim login.php，通過php實現(xiàn)對數(shù)據(jù)庫的連接

在瀏覽器中輸入127.0.0.1/login.html，就可以訪問自己的登陸頁面啦，這里套用了一個模板讓頁面看起來更加美觀,登陸成功的樣子如下：

（可惜后來出了一些BUG沒有搞清楚，又重新做了）

• 注意：此處的用戶名是自己在庫表中新建的用戶以及對應(yīng)的密碼，在上一節(jié)中我新建的用戶是：4301，密碼是20154301

---

（七）SQL注入

SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來說，它是利用現(xiàn)有應(yīng)用程序，將（惡意的）SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫，而不是按照設(shè)計者意圖去執(zhí)行SQL語句。

• 在用戶名輸入框中輸入' or 1=1#，密碼隨意，這時SQL查詢語句變?yōu)閟elect * from test_table where username='' or 1=1#' and password=''，#相當于注釋符，會把后面的內(nèi)容注釋掉，or后跟著的1=1永遠為真，所以必然登錄成功
  

跨站腳本攻擊(Cross Site Scripting)，為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆。故將跨站腳本攻擊縮寫為XSS。XSS是一種經(jīng)常出現(xiàn)在web應(yīng)用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞由于被駭客用來編寫危害性更大的phishing攻擊而變得廣為人知。

• 將一張圖片放在/var/www/html目錄下，在用戶名輸入框輸入<img src="20154301.jpg" />，密碼隨意，就可以讀取圖片啦：
  

---

四、實驗體會

• 本次實驗是我花費時間最多的一次實驗，重做了許多次，但最后收獲也非常的大。連接不上庫，代碼不會修改，修改之后又連接不上等等問題最終被一一克服，讓我對于html網(wǎng)頁編程有了一定的了解。最讓我感觸深的一點就是關(guān)于sql注入和xss攻擊確實是防不勝防的，我們在編寫html的時候仍必須了解一些防范知識，避免一些低級的攻擊。

轉(zhuǎn)載于:https://www.cnblogs.com/z20154301/p/9050581.html

總結(jié)

以上是生活随笔為你收集整理的Exp8 web基础 20154301仉鑫烨的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。