Exp8 Web基础 2054302薛师凡

Exp8 Web基础

2054302薛师凡

一、 实践内容

Web前端：HTML基础

Web前端：javascipt基础

Web后端：MySQL基础

Web后端：PHP基础

SQL注入

XSS攻击测试

发帖和会话管理的实现

二、 基础问题

什么是表单？

答：①表单是一个包含表单元素的区域，表单元素是允许用户在表单中（比如：文本域、下拉列表、单选框、复选框等等）输入信息的元素，表单在网页中主要负责数据采集功能，一个表单有三个基本组成部分：表单标签、表单域、表单按钮；②表单标签

：这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法；③表单域：包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等；④表单按钮：包括提交按钮、复位按钮和一般按钮，用于将数据传送到服务器上的CGI脚本或者取消输入，还可以用表单按钮来控制其他定义了处理脚本的处理工作。

浏览器可以解析运行什么语言？

答：支持HTML（超文本标记语言）、XML（可扩展标记语言）以及Python、PHP、JavaScript、ASP等众多脚本语言。

WebServer支持哪些动态语言？

答：JavaScript、ASP、PHP、Ruby等脚本语言，ASP基于IIS WEB SERVER，是微软的服务器端脚本技术，PHP基于APACHE WEB SERVER，与ASP有几分类似，都是一种在服务器端执行的嵌入HTML文档的脚本语言。

三、实验过程

（一）环境配置

1.安装 Apache，直接用指令sudo apt-get install apache2

输入命令vi /etc/apache2/ports.conf更改apache2的监听端口号为 4302；

输入命令apachectl start打开apahce，并使用netstat -aptn查看端口号，确认apache正确开启，

（二）前端编程

使用cd /var/www/html在/var/www/html目录下编辑vi test.html

在firefox中输入：http://127.0.0.1:4302/test.html就能打开该网页。

因为没有上面代码里标出的一行中action指定的php文件，所以会出现not found的提示：

（三）javascript

（相关概念：JavaScript是一种广泛用于客户端Web开发的脚本语言，常用来给HTML网页添加动态功能，比如响应用户的各种操作。
文档对象模型(Document Object Model，简称DOM，是W3C组织推荐的处理可扩展标志语言的标准编程接口。
编写验证用户名和密码的规则：比如用户名和密码不能为空）vi test1.html

编了一个验证的函数，如果输入的用户名或者密码为空时，就弹出相应的对话框，然后在点击登录按钮时调用执行一遍这个函数，

（文字乱码问题在后面解决了）

（四）PHP测试

新建一个PHP测试文件vi /var/www/html/test.php输入如下：
<?php
echo ($_GET["A"]);

include($_GET["A"]);

echo "php page 4301!
";
?>

用浏览器打开http://127.0.0.1:4302/test.php，可以看见如下界面，测试成功

（五）MySQL基础

开启sql服务/etc/init.d/mysql start

输入mysql -u root -p，并根据提示输入密码，默认密码为p@ssw0rd进入MySQL

此处可以修改自己的密码：
输入use mysql，选择mysql数据库
输入update user set password=PASSWORD("20154302") where user='root';
输入flush privileges;，更新权限

我们先使用create database xsf_test;建立一个数据库；
使用show databases;查看存在的数据库；使用use 库名;使用我们创建的数据库：

接着使用create table 表名 (字段设定列表);建立数据表，数据表是数据库中一个非常重要的对象，一个数据库中可能包含若干个数据表；

create table xsftable (username VARCHAR(20), password VARCHAR(32), telephone VARCHAR(11) );使用show tables查看存在的数据表：

使用insert into 表名 values('值1','值2','值3'...);插入数据；使用select * from 表名;

insert into xsftable values('xsf','4302','18810591677');

查询表中的数据：

我们还可以在MySQL中增加新用户，使用grant select(insert,update,delete) on 数据库.* to 用户名@登录主机 identified by "密码";

grant select,insert,update,delete on xsf_test .* to xsf2@localhost identified by "20154302";

指令，如图所示，增加新用户之后，退出，重新使用新用户名和密码进行登录，登录成功说明增加新用户成功：

后来学会了建立权限更高的用户
CREATE USER 'xsf5'@'%' IDENTIFIED BY '20154302';
GRANT ALL ON . to 'xsf2'@'%';

（六）php+mysql实现登录网页编写（代码）

在/var/www/html文件夹下输入vim login_test.html，编写登录网页。

在同样的目录下输入vim login.php，通过php实现对数据库的连接
<?php

$uname=($_GET["username"]);
$pwd=($_GET["password"]);

echo $_GET["username"];
echo $_GET["password"];

/echo $uname; /

$query_str="SELECT * FROM xsftable where username='{$uname}' and password='{$pwd}';";//*后面是表名，where后是变量名

/* echo "
{$query_str}
";*/

$mysqli = new mysqli("localhost", "root", "20154302", "xsf_test");//用户名，密码，数据库名

/* check connection /
if ($mysqli->connect_errno) {
printf("Connect failed: %s\n", $mysqli->connect_error);
exit();
}
echo "connection ok!";
/ Select queries return a resultset /
if ($result = $mysqli->query($query_str)) {
if ($result->num_rows > 0 ){
echo "
Wellcome login Mr/Mrs:{$uname}
";
} else {
echo "
login failed!!!!
" ;
}
/ free result set */
$result->close();
}
else echo "
can't match" ;

$mysqli->close();

?>
在浏览器中输入127.0.0.1/login.html，就可以访问自己的登陆页面啦，可惜过程及其艰难，屡次出错
1.0

2.0

用网上找的的代码解决了访问拒绝的问题，删除了默认密码用户。
mysql -u root -p
use mysql;
update user set plugin='' where user='root';
flush privileges;
exit
3.0

4.0

5.0

终于成功

还有，只要是中文就会出现乱码，怎么解决呢？

　 添加一行代码：

　　

（七）SQL注入

SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。
在用户名输入框中输入' or 1=1#，密码随意，这时SQL查询语句变为select * from test_table where username='' or 1=1#' and password=''，#相当于注释符，会把后面的内容注释掉，or后跟着的1=1永远为真，所以必然登录成功

跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。

将一张图片放在/var/www/html目录下，在用户名输入框输入，密码随意，就可以读取图片啦：

四、实验体会

本次实验对于一个完全没有学过网页设计的我来说确实非常痛苦，从头到尾一共花了一天半的时间，其中在数据库的时候也遇到各种难题，最终都成功解决了，虽然痛苦但是收获很大。
我应该考虑花一定的时间在W3school网站学习了一下，做到能看懂那些标签和大致的CSS，JS，php语句的意思，然后才能照葫芦画瓢，试着设计自己的网页啦。