Web安全與防護(hù) （微課版）03-4 項(xiàng)目三 安全的數(shù)據(jù)庫(kù)交互-任務(wù)四教案

XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目三任務(wù)四《SQL注入漏洞修復(fù)與防范》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱SQL注入漏洞修復(fù)與防范授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：熟悉SQL注入漏洞的修復(fù)方法與防范措施。2、知識(shí)準(zhǔn)備：SQL注入漏洞原理、PHP后端開發(fā)基礎(chǔ)。3、任務(wù)實(shí)施：修復(fù)博客系統(tǒng)中存在的SQL注入漏洞并進(jìn)行驗(yàn)證。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫(kù)交互知識(shí)，具備了數(shù)據(jù)庫(kù)操作使用的基本能力和數(shù)據(jù)庫(kù)常見漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、參數(shù)化查詢。2、繞過(guò)后臺(tái)登錄修復(fù)（字符型）。3、文章頁(yè)面注入漏洞修復(fù)（數(shù)字型注入）。4、搜索框注入漏洞修復(fù)（搜索框注入）。能力目標(biāo)1、能夠修復(fù)系統(tǒng)中存在的漏洞。2、能夠?qū)σ研迯?fù)的漏洞進(jìn)行復(fù)測(cè)。素質(zhì)目標(biāo)1、養(yǎng)成執(zhí)著專注的工作習(xí)慣。2、樹立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)。教學(xué)重點(diǎn)SQL注入漏洞的修復(fù)以及防范方法教學(xué)難點(diǎn)SQL注入漏洞的修復(fù)二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：SQL注入漏洞的修復(fù)以及防范方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：SQL注入漏洞的修復(fù)措施：老師講解加演示三、教學(xué)實(shí)施第4次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)四SQL注入漏洞修復(fù)與防范引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.參數(shù)化查詢

2.繞過(guò)后臺(tái)登錄修復(fù)（字符型）

3.文章頁(yè)面注入漏洞修復(fù)（數(shù)字型注入）

4.搜索框注入漏洞修復(fù)（搜索框注入）教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.參數(shù)化查詢

參數(shù)化查詢是一種防止SQL注入攻擊的數(shù)據(jù)庫(kù)查詢方法。它通過(guò)將SQL查詢語(yǔ)句和查詢參數(shù)分離，以一種安全的方式傳遞用戶提供的輸入?yún)?shù)，從而避免了SQL注入攻擊。2.繞過(guò)后臺(tái)登錄修復(fù)（字符型）修改博客系統(tǒng)源碼使用參數(shù)化查詢，將SQL語(yǔ)句中的變量通過(guò)占位符的方式傳入，而不是通過(guò)字符串拼接的方式。最后進(jìn)行修復(fù)驗(yàn)證。3.文章頁(yè)面注入漏洞修復(fù)（數(shù)字型注入）修改博客系統(tǒng)代碼使用預(yù)處理語(yǔ)句和綁定參數(shù)確保查詢參數(shù)被視為值而不是SQL代碼的一部分。預(yù)處理語(yǔ)句會(huì)先將SQL語(yǔ)句和參數(shù)分開處理，再發(fā)送到MySQL服務(wù)器，從而有效地減少了SQL注入的風(fēng)險(xiǎn)。4.搜索框注入漏洞修復(fù)（搜索框注入）修改博客系統(tǒng)代碼使用參數(shù)化查詢來(lái)避免SQL注入攻擊。例如，使用mysqli_prepare()函數(shù)來(lái)準(zhǔn)備查詢，然后使用mysqli_stmt_bind_param()函數(shù)來(lái)綁定參數(shù)。。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極