EXP8 Web基础
一、基础问题回答
1.什么是表单?
答:
表单:表单在网页中主要负责数据采集功能。
基本组成部分:
表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。
表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。
表单按钮:包括提交按钮、复位按钮和一般按钮;用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用表单按钮来控制其他定义了处理脚本的处理工作。
2.浏览器可以解析运行什么语言?
答:
超文本标记语言:HTML
可扩展标记语言:XML
脚本语言:ASP、PHP、Script、JavaScript、VBScript、Perl、Python、ColdFusion、Java、JSP等。
3.WebServer支持哪些动态语言?
答:
常用的有:ASP语言,PHP语言和JSP语言。
二、实践要求:
1.本实践的具体要求有:
(1).Web前端HTML
能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。
(2).Web前端javascipt
理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。
(3).Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表
(4).Web后端:编写PHP网页,连接数据库,进行用户认证
(5).最简单的SQL注入,XSS攻击测试
功能描述:用户能登陆,登陆用户名密码保存在数据库中,登陆成功显示欢迎页面。
课题负责人需要完成:登陆后可以发贴;会话管理。
三、实践过程:
(1)Web前端HTML
使用netstat -aptn查看确认端口占用,如果有占用的话就使用kill+端口号清除掉。
通过 apachectl start 开启Apache.
然后在浏览器中输入localhost:80,登录到Apache首页验证其可用;
使用 cd /var/www/html 进入Apache目录下,新建一个简单的含有表单的html文件20154331.html:
20154331.html的内容如下:
在浏览器中尝试打开,输入localhost:80/420154331.html,就出现下图界面:
随便输入用户名和密码后点提交,就会出现下面这个界面,那是因为我还没有对此页面进行编辑,此页面还需完善...
(2).Web前端javascipt
又重现创建了一个html,用来编写验证用户名和密码的规则:
然后再登入浏览器,输入localhost:80/huangrui.html进行测试:
当我没输密码时:
当我没输用户名时:
(3)Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表
输入 /etc/init.d/mysql start 打开mysql服务:
输入 mysql -u root -p,以root身份登录,默认密码为p@ssw0rd,进入MySQL:
输入use mysql;,选择mysql数据库:
输入select user, password, host from user;,显示mysql库中已有的用户名、密码与权限:
输入UPDATE user SET password=PASSWORD("新密码") WHERE user='root';更改用户名root的密码
输入flush privileges;,更新权限。
然后quit 退出。
重新输入 mysql -u root -p 重新进入,使用新密码登录成功,说明修改成功:
然后创建一个新表,输入CREATE SCHEMA库表的名称:`4331hr`:
然后输入:
-
CREATE TABLE `4331hr`.`users` ( `userid` INT NOT NULL COMMENT '', `username` VARCHAR(45) NULL COMMENT '', `password` VARCHAR(256) NULL COMMENT '', `enabled` VARCHAR(5) NULL COMMENT '', PRIMARY KEY (`userid`) COMMENT '');
在表中添加内容:输入 use 4331hr 打开表,
输入 insert into users(userid,username,password,enabled) values(1,'20154331',password("20154331"),"TRUE"); 进行内容的添加
输入 show databases 查看:
使用指令 create table huangrui (username VARCHAR(20), password VARCHAR(20)); 创建一张表格:
输入 describe 表名(huangrui);可以查看表内设定的参数:
使用指令 insert into wzr values('huangrui','20154331'); 插入数据,
使用 select * from huangrui 来查看到我们添加的数据。
切记:在MySQL中输入命令后面都要带一个分号作为结束符!!!!
(4).Web后端:编写PHP网页,连接数据库,进行用户认证
先做一个php测试:
这是登陆网页的代码:
<html>
<head>
<title>test</title>
</head>
<body>
<table>
<form method ="POST" action="login.php" name="frmLogin" >
<tr>
<td>user</td>
<td><input type="text" name="username" value="Your name" size="20" onfocus="if (this.value=='Your name') this.value='';" /></td>
<td> </td>
<td> </td>
</tr>
<tr>
<td>password</td>
<td><input type="password" name="password" value="Your password" size="20" maxlength="20" onfocus="if (this.value=='Your password') this.value='';" /></td>
<td> </td>
<td> </td>
</tr>
<tr>
<td><input type="checkbox" name="zlogin" value="1">auto login</td>
</tr>
<table>
<tr>
<td><input type="submit" name="login" value="login" onClick="return validateLogin()"/></td>
<td><input type="reset" name="rs" value="reset" /></td>
</tr>
</table>
</form>
</table>
<script language="javascript">
function validateLogin(){
var sUserName = document.frmLogin.username.value ;
var sPassword = document.frmLogin.password.value ;
if ((sUserName =="") || (sUserName=="Your name")){
alert("user name");
return false ;
}
if ((sPassword =="") || (sPassword=="Your password")){
alert("password!");
return false ;
}
}
</script>
</body>
</html>
创建一个新用户:hr
使用grant select,insert,update,delete on 4331hr.* to hr@localhost identified by "20154331";这句话的意思是将对某数据库的所有表的select,insert,update,delete权限授予某ip登录的某用户。
利用PHP和MySQL结合之前编的登录网页进行简单的用户身份认证,参考的是老师给的代码编写login.php:
里面有两个地方要改成与自己相关的用户名等:本机地址、MySQL登录用户名、MySQL登录密码、数据库名。
刚开始会出现这样的问题,可能是权限等一系列问题,后面问了很多同学最后解决了这个问题。
打开浏览器输入localhost:80/huangrui_1.html登录,输入用户名及密码,会自动跳转到login.php
用户名和密码是数据库中表中的username和password
当与MySQL表中匹配时,这如下界面:
不匹配时是这样的:
(5)SQL注入:
在登录界面用户名处输入 ' or 1=1# ,密码随便填什么都可以,结果可以成功登录!
将login.php文件中if($result = $mysqli->query($query_str))改为
if ($result = $mysqli->multi_query($query_str)) 实现执行多个sql语句:
然后在用户名那里输入如下内容:
';insert into huangrui values('xiaohuang','12345');#SELECT * FROM huangrui WHERE username='' insert into huangrui values('xiaohuang','12345');
会提示登录失败:
但是到数据库里查看表的内容就发现多了一条用户信息,下次就可直接用这条用户信息登录。
(6)xss攻击(XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。)
首先在如下目录里添加一张照片:(后面我把图片名改成了zhaopian.jpg)
在登录的用户名中输入:<img src="zhaopian.jpg" />haha</a>,密码也是随便:
点击登录,居然是这样的界面:
打开之前的login.php,取消掉这行注释:
结果照片竟然显示不出来,
然后我在浏览器中输入:localhost/zhaopian.jpg ,结果出现了forbiden,那可能就是我权限的问题了。
然后我就去百度,发现一个东西:chmod 777:
在Unix和Linux的各种操作系统下,每个文件(文件夹也被看作是文件)都按读、写、运行设定权限。
读、写、运行三项权限可以用数字表示,就是r=4,w=2,x=1。
例如rw-r--r-- 用数字表示成644:
rw-是说用户bu有读、写权,没有运行权,接着的r--表示用户组users只有读权限,没有运行权,最后的r--指其他人(others)只有读权限,没有写权和运行权。
反过来说777就是rwxrwxrwx,意思是该登录用户(可以用命令id查看)、他所在的组和其他人都有最高权限。
于是我对这张照片重新设了下权限:
再重新登陆,哈哈哈哈哈哈,照片就出来啦~~~~
四、实验心得:
这是第八次实验,相比第七次真的是难了不少,至少我是这样觉得的,虽然上学期多多少少接触到了数据库的一些东西,但就是中间mysql那部分直接把我绕晕了,好在我及时清醒过来,不然可能到现在也无法绕出来哈哈哈,老师上课也讲了一些代码,我们在理解的时候也方便不少。而且也是问了好多大神才最终完成了,学到很多。感谢老师和大神们的帮助和指导。