信息安全实验4--报告模板

《信息安全实验4--报告模板》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、阳光学院计算机科学与技术系信息安全实验报告专业：计算机科学与技术年级：2015级组别：1B学号：15100273姓名：邹驼玲2017年月日实验4数据库安全练习一、SQL注入【实验目的】了解SQL注入的基本原理掌握PHP脚本访问MySQL数据库的基本方法掌握程序设计中避免出现SQL注入漏洞的基本方法【实验人数】每组1人【系统环境】Linux【网络环境】交换网络结构【实验类型】设计型【实验步骤】「注」实验步骤中涉及到的mysql数据库操作命令和php脚本源码，均在/opt/ExpNIC/HostSec-Lab/

2、Projects目录中提供。一．PHP访问MySQL简单实例1.创建隶属test数据库的user表(1)启动mysql服务①在控制台中输入如下命令启动mysql服务。缺省状态下root用户密码为空。servicemysqldstart②可通过如下命令查看mysql服务是否启动成功。servicemysqldstatus(2)创建user数据库表在控制台中输入mysql，进入mysql客户端控制台（mysql>）。①选择工作数据库test（缺少状态下，test数据库已被创建）。usetest;②创建user数

3、据库表CREATETABLEuser(useridint(11)NOTNULLAUTO_INCREMENT,usernamevarchar(20)NOTNULLDEFAULT"",passwordvarchar(20)NOTNULLDEFAULT"",PRIMARYKEY(userid))TYPE=MyISAMAUTO_INCREMENT=3;③插入两条数据信息INSERTINTOuserVALUES(1,"angel","mypass");INSERTINTOuserVALUES(2,"lblis","y

4、ourpass");④查看数据库表select*fromuser;2.编写PHP脚本查询user数据库表编写access.php脚本，内容如下：

5、e参数值$password=$_GET['password'];#获取password参数值##连接到MySQL服务器$dbcnx=mysql_connect($servername,$dbusername,$dbpassword);{if(!$dbcnx){echo("连接MySQL服务器失败".mysql_error());exit();}}##选择工作数据库if(!mysql_select_db($dbname,$dbcnx)){echo("激活$dbname数据库失败".mysql_error())

6、;exit();}##SQL查询$sql_select="SELECT*FROMuserWHEREusername='$username'ANDpassword='$password'";$result=mysql_query($sql_select,$dbcnx);$userinfo=mysql_fetch_array($result);if(empty($userinfo)){echo("登录失败");}else{echo("登录成功");}echo"

SQL查询：$sql_select

";?

7、>从代码中可知，当输入正确的用户名和密码后，就会提示登录成功，否则登录失败。单击桌面控制面板中“Web浏览器”按钮，当我们在URL地址栏中提交：http://本机IP/access.php?username=angel&password=mypassWeb页面会提示“登录成功”。写出此时PHP脚本中具体的SQL查询语句：SELECT*FROMuserWHEREusername=’angel’ANDpassword=’mypass’3.实施SQL注入(1)在URL地址栏中提交：http://本机IP/acce

8、ss.php?username=angel'or1=1注入是否成功？否。写出此时PHP脚本中具体的SQL查询语句：SELECT*FROMuserWHEREusername=’angel’or1=1’ANDpassword=”(2)在URL地址栏中提交：http://本机IP/access.php?username=angel'or'1=1注入是否成功？是。写出此时PHP脚本中具体的SQL查询语句：SELECT*F