</form>
		</div>
	</div>		

Web前端javascipt

添加对输入项目进行检查的js段：

版式设计代码巨长，我后来就删了换了个简单的

完成后的代码，主要思路是检查两个项目是否为空，如果为空拒绝跳转，并弹出窗口提醒。

where is your password？

Web后端

输入 /etc/init.d/mysql start 开启MySQL服务，接着进行一系列的操作，建立将用来与login.html连接的数据库，数据库名称是database4306

接着插入数据

赋权，并设定新增用户CYH的密码

重新登录

MySQL基础

我其实挺后悔大一没有选数据库，也没选离散数学，就导致我对数据库这一块总是有些迷糊，其实看到sql，我第一印象不是sql注入，而是我关注的各种公众号隔三岔五的删库跑路哈哈哈哈

准备

在【/var/www/html】目录下新建test.php，进行测试

<?php
echo ($_GET["a"]);
include($_GET["a"]);
echo "hey,my friend,i‘m 4306";
?>

尝试连接

在浏览器访问localhost/test.php?a=/etc/passwd，可以查看/etc/passwd文件的内容。

编写PHP网页，连接数据库，进行用户认证

结合数据库的形式要求和网页要求，编写PHP代码

当然，还需要更改之前的html，将form action的对象改为刚刚编写的login.php。

俺真没学过php，大概也就能看懂能改的水平呜呜呜

caidog

登录测试

SQL注入

这两个sql注入攻击的方式都非常简单，其实sql注入的概念老师在说缓冲区溢出的时候也提到狗，其实sql注入的思路和缓冲区溢出是很相似的，或者说本质上是一致的。

在用户名框输入 ‘ or 1=1# 进行注入攻击，这样当用户名转变为sql里的select语句时，整条语句变为

select * from users where username=‘‘ or 1=1#‘ and password=‘‘

以后变为注释，前面的语句为 or 1=1，恒成立，那么无论密码是什么，这样的注入都能成功登录，进入获得其他信息。

XSS攻击测试

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

在原本显示username的位置输入图片的文件号，即可调取在/var/www/html下的其他内容

实验基础问题回答

什么是表单

表单实现网页的数据采集功能，是一个包含表单元素的区域，使用表单标签来定义

整体格式为