sql注入三课教程菜鸟要飞基础知识.pptxVIP

初识Web应用让我们来了解一下Web相关的知识1

初识Web应用什么是Web应用呢？2学校网站成绩管理系统QQ空间新浪微博简单的来说呢就是可以用浏览器打开访问的一个程序，一个网站！

Web相关知识-Web技术简介3Web又称WorldWideWeb(万维网)，其基本结构是采用浏览器/服务器结构（Browser/Server），分成服务端、客户端（用户端）以及传输过程三个部分。

Web相关知识-Web服务流程4浏览器发送请求服务端调解析对应动态脚本，输出静态HTML输出静态HTML客户端客户端将HTML解析成文字、图片、声音等

Web相关知识-HTTP协议5HTTP请求HTTP响应

Web相关知识-前端-HTML6HTML是个啥子东西啊？用于描述网页的一种标记语言，简单说就是一些英文单词，用来描述一个网页的内容。在日常生活中，当我们上网浏览网页的时，在浏览器输入一个网址后，被访问的网站服务器收到我们要访问的地址后，将相关的HTML内容发送到客户端我们的浏览器上，浏览器收到HTML内容后，将翻译这些HTML内容，展示出我们能直观的看到的文字、图片、视频及我们能听到的声音。一些CTF比赛经常会将一些提示放在这里

Web相关知识-前端-js7JS(JavaScript)是什么？JavaScript是一种直译式脚本语言，是一种动态类型、弱类型、基于原型的语言，内置支持类型。于1995年由Netscape公司的BrendanEich首次设计实现而成。由于Netscape公司与Sun公司合作，Netscape高层希望它看上去能够像Java，因此取名为JavaScript。迄今为止，已经遍布Web开发、手机App等领域。通常在Web中JavaScript主要完成一些网页文档操作，比如修改图片、修改文字、前端验证、Ajax等。

Web相关知识-动态编程语言8编程语言Web脚本后缀语言类型备注aspasp弱Asp的语法和vb非常像；解释执行phpphp弱解释执行C#、VBaspxC#强大部分是c#编写JavaJsp、do、action、*强编译后执行perl、C++、Java、VBcgi强大部分c++编写

Web相关知识-Web中间件9JavaphpaspTomcatApacheiisJbossNginxWebLogicResionGlassFish

应用漏洞攻击-SQL注入10什么是SQL注入呢？Web程序未将用户提交参数进行过滤，将攻击者提交的带有SQL攻击的字符带入了数据库查询，导致SQL查询语句语义发生了改变。Select字段from表where条件orderby字段….Insertinto表(字段)values(‘’,’’,’’……)where条件…Deletefrom表where条件…Update表set字段1=xx,set字段2=xx,…..where条件…

应用漏洞攻击-SQL注入11SQL注入可能出现在HTTP协议的哪些部分呢？RefererCookieBodyURL…..

应用漏洞攻击-SQL注入12通过SQL注入攻击实现数据窃取、数据篡改

应用漏洞攻击-SQL注入Stringsql=select*fromnewswhereid=+request.getParameter(id);Stringsql=select*fromnewswheretype=‘+request.getParameter(type)+;Stringsxql=select*fromnewswheretitlelike‘%+request.getParameter(type)+%;Stringsql=select*fromnewsorderby+request.getParameter(orderby)+desc;其他位置。。。。Stringusername=request.getParameter(username);Stringpassword=request.getParameter(password);Connectionconn=DBUtil.getConn();//登陆查询Stringsql=select*fromadminwhereusername=+username+andpassword=+password+;//添加登陆记录/*Stringip=request.getHeader(X-Forwarded-For);StringaddSql=insertintologsvalues(+ip+);X-Forwarded-For这里也可能导致注入额*///执行查询PreparedStat