freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

web編程安全(存儲版)

2025-04-01 22:05上一頁面

下一頁面
  

【正文】 input type=submit value=到達 formP2 /form 問題 該隱藏表單中隱藏的內容非常直觀, 可以從客戶端源代碼中看到學號和課程編號 ,因此,給了攻擊者機會,攻擊者可以在客戶端通過修改源代碼來修改任意學生的成績:如將客戶端源代碼改為: 就可以修改 0016學生的語文成績了!同樣,更為嚴重的問題是,如果網站足夠不安全的話,攻擊者可以不用登陸,隨意設計表單來訪問你的頁面。 不同的語言中對 Cookie有不同的操作方法,下面以 JSP為例,來編寫代碼。 很明顯, Cookie也不是絕對安全的。如果在不考慮服務器負載的情況下, 將數(shù)據保存在服務器端,是一個較好的方案,這就是 session方法 。 點擊鏈接之后,效果為: 可見,也可以實現(xiàn)頁面之間數(shù)據的傳遞。 但是令人遺憾的是,客戶在關閉瀏覽器時,一般不會通知服務器。 為了讓讀者了解 SQL注入,首先我們舉一個簡單的例子。 OR 1=1 39。比如,有一個頁面,可以對學生的姓名(STUNAME)從 STUDENTS表中進行模糊查詢:同樣,為了將問題簡化,我們僅僅將其 SQL打印出來供大家分析。 該語句中,也會將 STUDENTS中所有的內容顯示出來。很多其他的攻擊,如DoS等,可能通過防火墻等手段進行阻攔,但是而對于 SQL 注入攻擊,由于注入訪問是通過正常用戶端進行的,所以普通防火墻對此不會發(fā)出警示,一般只能通過程序來控制,而SQL攻擊一般可以直接訪問數(shù)據庫進而甚至能夠獲得數(shù)據庫所在的服務器的訪問權,因此,危害相當嚴重。 防范方法 ? 5:對于數(shù)據庫敏感的、重要的數(shù)據,不要以明文顯示,要進行加密。 :34:0019:34Mar2331Mar23 ? 1故人江海別,幾度隔山川。 , March 31, 2023 ? 很多事情努力了未必有結果,但是不努力卻什么改變也沒有。 2023年 3月 31日星期五 7時 34分 0秒 19:34:0031 March 2023 ? 1空山新雨后,天氣晚來秋。 2023年 3月 31日星期五 下午 7時 34分 0秒 19:34: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。勝人者有力,自勝者強。 。 2023年 3月 31日星期五 7時 34分 0秒 19:34:0031 March 2023 ? 1做前,能夠環(huán)視四周;做時,你只能或者最好沿著以腳為起點的射線向前。 , March 31, 2023 ? 雨中黃葉樹,燈下白頭人。這樣,即使在收到 SQL注入攻擊時,有一些對數(shù)據庫危害較大的工作,如 DROP TABLE語句,也不會被執(zhí)行, ? 4:多層架構下的防治策略。 危害性大 由于 SQL 注入攻擊一般利用的是利用的是 SQL 語法,這使得于所有基于 SQL 語言標準的數(shù)據庫軟件,如 SQL Server,Oracle, MySQL, DB2等都有可能受到攻擊,并且攻擊的發(fā)生和 Web編程語言本身也無關,如 ASP、 JSP、 PHP,在理論上都無法完全幸免。比如,客戶輸入:“ %?”: 查詢顯示的結果為: 該程序中, 表示注釋,因此,真正運行的 SQL語句是: SELECT * FROM STUDENTS WHERE STUNAME LIKE 39。網站受到了SQL注入的攻擊。比如,客戶輸入賬號為:“ aa? OR 1=1 ”,密碼隨便輸入,如“ aa”: 查詢顯示的結果為: 該程序中, SQL語句為: SELECT * FROM USERS WHERE ACCOUNT=39。 4 SQL注入 SQL注入的原理 SQL注入在英文中稱為 SQL Injection,是黑客對 Web數(shù)據庫進行攻擊的常用手段之一。其實不然,瀏覽器關閉,會話結束,對于客戶端來說,已經無法直接再訪問原來的那個 session,但并不代表 session在服務器端會馬上消失。以 JSP為例,本節(jié)的例子也可以用 session方法來做,首先是sessionP1。如圖所示: ? 4:禁用 Cookie。在本例中,內容被保存在Cookie文件,如果使用的是 windows XP, C盤是系統(tǒng)盤,該文件保存在:C:\Documents and Settings\當前用戶名 \Cookies下。 Cookie方法 基于這個原理,上面的例子可以用 Cookie來進行。因此,從保密的角度講,這也是不安全的。 表單傳值 上面舉的例子,通過 URL方法,傳遞的數(shù)據可能被看到。此處 urlP2代碼為: 點擊 ,到達 ,效果如下: 這說明,可以順利實現(xiàn)值的傳遞。因此, Web頁面保持狀態(tài)并傳遞給其他頁面,是一個重要技術。這里就造成了一個不安全的現(xiàn)象:老師可以查詢不是他班級上的學生的信息。 舉一個例子,假如有一個教學管理系統(tǒng),教師輸入自己的賬號、密碼,可以看到他所教的班級的學生信息。 2 避免 URL操作攻擊 URL的概念及其工作原理 Web上有很多資源,如 HTML文檔、圖像、視頻、程序等,在訪問時,它們的具體位置怎樣確定呢?通常是利用 URL。JSP技術在傳統(tǒng)的網頁 HTML文件 (*.htm,*.html)中嵌入 Java程序段 (Scriptlet)、Java表達式 (Expression)或者 JSP標記 (tag),從而形成 JSP文件 (*.jsp) ,在服務器端運行。 CGI技術體系的核心是 CGI程序,負責處理客戶端的請求。這種結構有如下特點: ?程序完全放在應用服務器上,并在應用服務器上運行,通過應用服務器同數(shù)據庫服務器進行通信; ?客戶機上無需安裝任何客戶端軟件,系統(tǒng)界面通過客戶端瀏覽器展現(xiàn),客戶端只需要在瀏覽器內輸入 URL; ?修改了應用系統(tǒng),只需要維護應用服務器。 本講主要針對 Web編程中的一些安全問題進行講解 。 在 Web程序結構中,瀏覽器端與應用服務器端采用請求 /響應模式進行交互,如圖所示。 PHP是一種可嵌入 HTML、可在服務器端執(zhí)行的內嵌式腳本語言,語言的風格比較
點擊復制文檔內容
教學課件相關推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1