8.89 python web
程序员文章站
2022-07-15 12:00:23
...
8.29
今天主要学习了python 和 web应用安全权威指南
python 习题21
本节的知识点主要有 return来返回自定义函数中的值 函数的嵌套 和在学校中学的c内容很相似 所以说本节相对来说比较简单
本节的代码如下
def add(a, b):
print "ADDING %d + %d" % (a, b)
return a + b
def subtract(a, b):
print "SUBTRACTING %d - %d" % (a, b)
return a - b
def multiply(a, b):
print "MULTIPLYING %d * %d" % (a, b)
return a * b
def divide(a, b):
print "DIVING %d / %d" % (a, b)
return a / b
print "Let's do some math with just functins!"
age = add(30, 5)
height = subtract(78, 4)
weight = multiply(90, 2)
iq = divide(100, 2)
print "Age:%d, Height: %d, Weight: %d, IQ: %d" %(age, height, weight, iq)
# A puzzle for the extra credit, type it in anyway.
# print "Here is a puzzle."
# what = add(age, subtract(height, multiply(weight, divide(iq ,2))))
# c = divide(iq ,2)
# d = multiply(weight, c)
# e = subtract(height, d)
# what = add(age, e)
# print "That becomes: ", what, "Can you do it by hand?"
第一天不熟悉,导致博客中的代码都写的位置不对 原来是这样的 哈哈
web篇
今天主要学习了书的100页到120页 主要讲了 SQL语句 最后讲了一点 关键处理带来的隐患
如果开发者的代码中存在隐患,攻击者可以通过SQL语句 主动攻击 此过程不需要用户进行任何操作
通过漏洞,用SQL语句可以盗取数据库中的所有信息,随意修改和删除数据库中的内容,影响程度 大 这类的攻击手段就叫做SQL注入
对策:1.使用占位符来拼接SQL语句
2.在程序中拼接SQL语句的时候,要确保字面量被正确处理,SQL语句不可被更改 (不推荐)
辅助对策:
1.不显示详细的错误信息
2.检验输入值的有效性
3.设置数据库的权限
关键处理中带来的隐患(没看懂。。。)
跨站请求伪造(CSRF) (漏洞) 貌似通过这个漏洞可以修改用户的密码,通过假的网页覆盖修改消息。