Web安全与防护 （微课版）（下篇，共上下2篇）.pptxVIP

项目五安全的个人信息修改Web安全与防护本任务要点学习目标利用PHP实现账户密码修改功能熟悉数据库增删查改的操作方法熟悉PHP数据库交互的功能编写方法任务一博客系统的功能实现

目录CONTENTS01/创建表单02/处理表单提交

创建表单01form?method=post?action=password_change.php??label?for=new_password新密码/label??input?type=password?name=new_password?id=new_password?required??br??label?for=confirm_password确认新密码/label??input?type=password?name=confirm_password?id=confirm_password?required??br??button?type=submit修改口令/button/form在前端页面上添加一个口令修改表单，其中包括原口令、新密码和确认新密码等字段，用户可以在表单中输入相关信息。

处理表单提交02?phpsession_start();//?验证用户是否已登录if?(!isset($_SESSION[user_id]))?{?header(Location:?login.php);?exit();}?//?处理表单提交if?(isset($_POST[new_password])??isset($_POST[confirm_password]))?{?$new_password?=?$_POST[new_password];?$confirm_password?=?$_POST[confirm_password];//?连接数据库$db?=?new?PDO(mysql:host=localhost;dbname=blog,?username,?password);//?检查新密码是否匹配确认密码if?($new_password?===?$confirm_password)?{?//?更新用户的密码?$stmt?=?$db-prepare(UPDATE?users?SET?password?=???WHERE?id?=??);????$stmt-execute([password_hash($new_password,?PASSWORD_DEFAULT),?$_SESSION[user_id]]);????echo?密码已更新！;}?else?{?echo?新密码与确认密码不匹配。;}?在后端服务器端，接收前端发送的口令修改请求，并对用户提交的表单数据进行验证，比如检查新密码和确认新密码是否一致。如果数据验证失败，则返回错误提示；否则，更新用户的密码信息。再将用户输入的新密码进行加密处理，然后更新到数据库中，用于下次用户登录时进行验证。

课堂实践

一、任务名称：完成博客系统账户密码修改功能二、任务内容：使用PHP开发语言，根据老师讲授的开发思路开发博客系统的账户密码修改功能。三、工具需求：浏览器、Vscode、Apache、MySQL、PHP四、任务要求：完成实践练习后，由老师检查完成情况。

课堂思考

一、修改密码的功能如何鉴别操作者的身份？二、鉴别操作者的身份后攻击者是否还能操控修改密码的过程？

课后拓展：跨站请求伪造

请同学们通过互联网检索跨站请求伪造的相关资料，学习并研究跨站请求伪造的原理，下节课会抽点部分同学上来给大家讲解自己研究的成果。

THANKYOUToBeContinued

项目五安全的个人信息修改Web安全与防护本任务要点学习目标理解跨站请求伪造攻击的原理熟悉跨站请求伪造攻击的步骤熟悉跨站请求伪造攻击的特点任务二跨站请求伪造攻击的原理

目录CONTENTS01/CSRF攻击步骤02/CSRF的特点

CSRF攻击步骤01（1）攻击者创建一个伪造的请求，该请求在运行时会将10,000美元从特定银行转入攻击者的账户；（2）攻击者将伪造的请求嵌入到超链接中，以批量电子邮件的形式发送出去，并将其嵌入到网站中；（3）受害者点击攻击者放置的电子邮件或网站链接，导致受害者向银行提出转账10,000美元的请求；（4）银行服务器接收到请求，并且由于受害者得到了适当的授权，它将请求视为合法并转移资金。CSRF漏洞成因通常是因为站点Cookie没有过期，网站没有没有进行进一步的验证用户信息，用户在没有任何安全意识的情况下访问了恶意站点。

CSRF的特点02CSRF通常是跨域的，因为外域通常更容易被攻击者掌控。但是如果本域下有容易被利用的功能，比如可以发图和链接的论坛和评论区，攻击可以直接在本域下进行，而且这种攻击更加危险。（1）攻击一般发起在第三方