8.89 python web

8.29
今天主要学习了python 和 web应用安全权威指南

python 习题21
本节的知识点主要有 return来返回自定义函数中的值 函数的嵌套 和在学校中学的c内容很相似 所以说本节相对来说比较简单
本节的代码如下

 def add(a, b):
    print "ADDING %d + %d" % (a, b)
    return a + b

def subtract(a, b):
    print "SUBTRACTING %d - %d" % (a, b)
    return a - b

def multiply(a, b):
    print "MULTIPLYING %d * %d" % (a, b)
    return a * b

def divide(a, b):
    print "DIVING %d / %d" % (a, b)
    return a / b


print "Let's do some math with just functins!"

age = add(30, 5)
height = subtract(78, 4)
weight = multiply(90, 2)
iq = divide(100, 2)

print "Age:%d, Height: %d, Weight: %d, IQ: %d" %(age, height, weight, iq)

# A puzzle for the extra credit, type it in anyway.

# print "Here is a puzzle."

# what = add(age, subtract(height, multiply(weight, divide(iq ,2))))

# c = divide(iq ,2)

# d = multiply(weight, c)

# e = subtract(height, d)

# what = add(age, e)

# print "That becomes: ", what, "Can you do it by hand?"   

第一天不熟悉，导致博客中的代码都写的位置不对 原来是这样的 哈哈

 web篇
 今天主要学习了书的100页到120页 主要讲了 SQL语句  最后讲了一点  关键处理带来的隐患

 如果开发者的代码中存在隐患，攻击者可以通过SQL语句 主动攻击 此过程不需要用户进行任何操作  
 通过漏洞，用SQL语句可以盗取数据库中的所有信息，随意修改和删除数据库中的内容，影响程度  大  这类的攻击手段就叫做SQL注入
 对策：1.使用占位符来拼接SQL语句
      2.在程序中拼接SQL语句的时候，要确保字面量被正确处理，SQL语句不可被更改                            （不推荐）
 辅助对策：
      1.不显示详细的错误信息
      2.检验输入值的有效性
      3.设置数据库的权限

 关键处理中带来的隐患（没看懂。。。）
      跨站请求伪造（CSRF） （漏洞）  貌似通过这个漏洞可以修改用户的密码，通过假的网页覆盖修改消息。