Web安全與防護(hù) （微課版）教案全套 武春嶺 01-1 項(xiàng)目一 Web安全基礎(chǔ)-08-4 項(xiàng)目八 安全的應(yīng)用發(fā)布

XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目一任務(wù)一Web技術(shù)的發(fā)展歷程；任務(wù)二Web安全的核心問(wèn)題教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱Web技術(shù)的發(fā)展歷程、Web安全的核心問(wèn)題授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：了解Web技術(shù)發(fā)展歷程，認(rèn)識(shí)Web安全核心問(wèn)題。2、知識(shí)準(zhǔn)備：HTTP、HTML和URI基礎(chǔ)知識(shí)。3、任務(wù)實(shí)施：了解Web技術(shù)發(fā)展歷程，闡述Web存在安全隱患的根本原因。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了解Web、HTTP、HTML和URI等相關(guān)概念的基本知識(shí)和網(wǎng)絡(luò)安全相關(guān)基本知識(shí)，但對(duì)Web技術(shù)的典型應(yīng)用、表現(xiàn)形式缺乏認(rèn)識(shí)，不能理解導(dǎo)致Web應(yīng)用存在安全問(wèn)題的原因。教學(xué)目標(biāo)知識(shí)目標(biāo)1、了解Web技術(shù)發(fā)展各階段的典型應(yīng)用。2、熟悉Web技術(shù)發(fā)展各階段解決的應(yīng)用需求。3、熟悉Web應(yīng)用的基本架構(gòu)。能力目標(biāo)1、能夠闡述Web技術(shù)發(fā)展各階段的區(qū)別和聯(lián)系2、能夠闡述Web存在安全隱患的原因。素質(zhì)目標(biāo)1、樹(shù)立正確的網(wǎng)絡(luò)安全觀。2、養(yǎng)成探究事物本質(zhì)的探索精神。教學(xué)重點(diǎn)Web存在安全隱患的核心問(wèn)題教學(xué)難點(diǎn)HTTP請(qǐng)求和響應(yīng)過(guò)程二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：Web存在安全隱患的核心問(wèn)題措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：HTTP請(qǐng)求和響應(yīng)過(guò)程措施：老師通過(guò)抓包軟件獲取HTTP流量數(shù)據(jù)包進(jìn)行演示講解三、教學(xué)實(shí)施第1次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)一Web技術(shù)的發(fā)展歷程引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本任務(wù)工作內(nèi)容：1.了解Web技術(shù)發(fā)展歷史2.熟悉Web技術(shù)各階段的應(yīng)用表現(xiàn)形式1.Web1.0①誕生了門(mén)戶網(wǎng)站、聊天軟件、BBS、電商購(gòu)物網(wǎng)站等互聯(lián)網(wǎng)應(yīng)用。②本質(zhì)是聚合、聯(lián)合、搜索，大量、無(wú)序的互聯(lián)網(wǎng)信息是這個(gè)時(shí)期聚合的本質(zhì)。③解決人們對(duì)信息搜索、聚合的要求，是靜態(tài)的、單項(xiàng)的網(wǎng)絡(luò)。2.Web2.0①解決了人與人之間溝通、互動(dòng)和參與的需求。②將互聯(lián)網(wǎng)的主導(dǎo)權(quán)交給廣大用戶個(gè)人，充分發(fā)掘廣大用戶的個(gè)人積極性并參與到體系中來(lái)。3.Web3.0①個(gè)性化和智能化的搜索引擎。②對(duì)數(shù)據(jù)進(jìn)行自由組合和有效聚合。③適合多種終端平臺(tái)，實(shí)現(xiàn)信息服務(wù)的普適性。任務(wù)二Web安全的核心問(wèn)題引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本任務(wù)工作內(nèi)容：1.認(rèn)識(shí)Web應(yīng)用中信息請(qǐng)求和響應(yīng)的基本過(guò)程2.理解Web存在安全隱患的根本原因1.Web應(yīng)用基本架構(gòu)2.Web應(yīng)用面臨的安全風(fēng)險(xiǎn)①數(shù)據(jù)信息泄漏。②網(wǎng)站篡改。③業(yè)務(wù)安全風(fēng)險(xiǎn)。3.Web安全核心問(wèn)題①Web應(yīng)用環(huán)境導(dǎo)致的安全問(wèn)題。②交互過(guò)程導(dǎo)致的安全問(wèn)題。③Web安全與傳統(tǒng)安全的區(qū)別。教師講授、演示。學(xué)生學(xué)習(xí)，動(dòng)手練習(xí)通過(guò)理論知識(shí)講解和演示操作，幫助學(xué)生理解重難點(diǎn)知識(shí)。課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目一任務(wù)三HTTP協(xié)議及安全性一、教學(xué)分析課題名稱HTTP協(xié)議及安全性授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：分析HTTP協(xié)議及其安全性。2、知識(shí)準(zhǔn)備：Web應(yīng)用系統(tǒng)的基本架構(gòu)和信息交互處理基本流程。3、任務(wù)實(shí)施：通過(guò)認(rèn)識(shí)HTTP協(xié)議數(shù)據(jù)報(bào)文格式和HTTPS工作原理，掌握HTTP數(shù)據(jù)報(bào)文分析方法。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了解Web應(yīng)用的基本概念和Web安全的基礎(chǔ)知識(shí)，但對(duì)Web應(yīng)用使用的HTTP協(xié)議，以及信息交互過(guò)程缺乏深入了解，不能理解協(xié)議與Web應(yīng)用安全之間的關(guān)系。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉HTTP請(qǐng)求報(bào)文和響應(yīng)報(bào)文格式。2、熟悉HTTPS基本概念和工作原理。能力目標(biāo)1、能夠獲取指定目標(biāo)的HTTP通信報(bào)文，并能分析報(bào)文內(nèi)容。素質(zhì)目標(biāo)1、樹(shù)立正確的網(wǎng)絡(luò)安全觀。2、養(yǎng)成探究事物本質(zhì)的探索精神。教學(xué)重點(diǎn)HTTP請(qǐng)求報(bào)文和響應(yīng)報(bào)文格式教學(xué)難點(diǎn)HTTPS安全機(jī)制和工作原理二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：HTTP請(qǐng)求報(bào)文和響應(yīng)報(bào)文格式措施：老師通過(guò)抓包軟件獲取HTTP流量數(shù)據(jù)包進(jìn)行演示講解教學(xué)難點(diǎn)解決措施難點(diǎn)：HTTPS安全機(jī)制和工作原理措施：老師通過(guò)抓包軟件獲取HTTPS流量數(shù)據(jù)包進(jìn)行演示講解三、教學(xué)實(shí)施第2次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三HTTP協(xié)議及安全性引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本任務(wù)工作內(nèi)容：1.認(rèn)識(shí)HTTP請(qǐng)求報(bào)文和響應(yīng)報(bào)文格式2.理解HTTPS安全機(jī)制和工作原理3.掌握HTTP數(shù)據(jù)報(bào)文分析方法1.HTTP請(qǐng)求報(bào)文①HTTP協(xié)議相關(guān)基本概念。②請(qǐng)求報(bào)文的組成部分。③請(qǐng)求方法及報(bào)文內(nèi)容分析。2.HTTP響應(yīng)報(bào)文①響應(yīng)報(bào)文的組成部分。②響應(yīng)報(bào)文狀態(tài)碼分析。③響應(yīng)報(bào)文內(nèi)容分析。3.URL①URL規(guī)范。②URI、URL和URN的區(qū)別。4.HTTPS安全性分析①HTTPS基本概念及特點(diǎn)。②HTTPS安全機(jī)制。③HTTPS基本工作原理。教師講授、演示。學(xué)生學(xué)習(xí)，動(dòng)手練習(xí)通過(guò)理論知識(shí)講解和演示操作，幫助學(xué)生理解重難點(diǎn)知識(shí)。課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目一任務(wù)四Web應(yīng)用中的編碼一、教學(xué)分析課題名稱Web應(yīng)用中的編碼授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：掌握Web應(yīng)用常見(jiàn)編碼的編碼和解碼方法。2、知識(shí)準(zhǔn)備：Web應(yīng)用系統(tǒng)的基本架構(gòu)和信息交互處理基本流程。3、任務(wù)實(shí)施：通過(guò)學(xué)習(xí)字符編碼、URL編碼、Base64等編碼知識(shí)，掌握Web應(yīng)用常見(jiàn)編碼的編碼和解碼方法。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了解了HTTP協(xié)議工作機(jī)制和流程，但缺少對(duì)字符編碼的認(rèn)識(shí)，不能有效分析數(shù)據(jù)報(bào)文中的相關(guān)信息。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉常見(jiàn)的編碼技術(shù)和規(guī)則。2、理解字符編碼、解碼工作原理。能力目標(biāo)1、能夠?qū)Λ@取的數(shù)據(jù)報(bào)文內(nèi)容中編碼的信息進(jìn)行解碼。素質(zhì)目標(biāo)1、樹(shù)立正確的網(wǎng)絡(luò)安全觀。2、養(yǎng)成探究事物本質(zhì)的探索精神。教學(xué)重點(diǎn)字符編碼的作用和原理教學(xué)難點(diǎn)不同編碼技術(shù)的編碼和解碼方法二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：字符編碼的作用和原理措施：通過(guò)課件演示講解教學(xué)難點(diǎn)解決措施難點(diǎn)：不同編碼技術(shù)的編碼和解碼方法措施：教師演示使用工具對(duì)字符進(jìn)行編碼和解碼操作，學(xué)生實(shí)操練習(xí)，加深印象三、教學(xué)實(shí)施第3次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三HTTP協(xié)議及安全性引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本任務(wù)工作內(nèi)容：1.了解字符編碼的作用2.熟悉常見(jiàn)編碼規(guī)則和原理3.掌握編碼、解碼方法1.字符編碼①ASCII編碼。②DBCS雙字節(jié)字符集。③Unicode編碼2.傳輸過(guò)程的編碼①URL編碼。②Base64編碼。③HTML字符實(shí)體。教師講授、演示。學(xué)生學(xué)習(xí)，動(dòng)手練習(xí)通過(guò)理論知識(shí)講解和演示操作，幫助學(xué)生理解重難點(diǎn)知識(shí)。課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目二任務(wù)一《登錄認(rèn)證功能實(shí)現(xiàn)》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱登錄認(rèn)證功能實(shí)現(xiàn)授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：利用PHP實(shí)現(xiàn)用戶的登錄認(rèn)證。2、知識(shí)準(zhǔn)備：PHP數(shù)據(jù)庫(kù)連接和數(shù)據(jù)庫(kù)增刪查改相關(guān)知識(shí)。3、任務(wù)實(shí)施：利用PHP實(shí)現(xiàn)用戶名和密碼的輸入校驗(yàn)。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫(kù)交互知識(shí)，具備了數(shù)據(jù)庫(kù)操作使用的基本能力和數(shù)據(jù)庫(kù)常見(jiàn)漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉登錄認(rèn)證原理及實(shí)現(xiàn)方法。2、熟悉驗(yàn)證碼的生成和校驗(yàn)方法。能力目標(biāo)1、能夠?qū)崿F(xiàn)數(shù)據(jù)庫(kù)的增刪查改。2、能夠使用PHP實(shí)現(xiàn)數(shù)據(jù)庫(kù)交互功能。素質(zhì)目標(biāo)1、養(yǎng)成精益求精的工作作風(fēng)。2、樹(shù)立良好的網(wǎng)絡(luò)安全意識(shí)。教學(xué)重點(diǎn)PHP實(shí)現(xiàn)用戶的登錄認(rèn)證教學(xué)難點(diǎn)登錄狀態(tài)的判斷二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：PHP實(shí)現(xiàn)用戶的登錄認(rèn)證措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：登錄狀態(tài)的判斷措施：老師講解加演示三、教學(xué)實(shí)施第1次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)一登錄認(rèn)證功能實(shí)現(xiàn)引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.了解登錄認(rèn)證2.創(chuàng)建登錄頁(yè)面3.判斷登錄狀態(tài)

4.增加驗(yàn)證碼情景引入：2014年8月，?？低旸VR和NVR產(chǎn)品因網(wǎng)絡(luò)攻擊導(dǎo)致返修量增加。攻擊者利用未更改的默認(rèn)密碼通過(guò)Telnet登錄并植入腳本，破壞設(shè)備固件。公司隨即報(bào)告警方并報(bào)案。2015年2月，江蘇省公安廳緊急通知全省檢查和加固?？低暠O(jiān)控設(shè)備，指出設(shè)備存在安全風(fēng)險(xiǎn)，部分已被境外控制。?？低晫?duì)受影響設(shè)備進(jìn)行了升級(jí)修復(fù)，并強(qiáng)調(diào)修改默認(rèn)密碼的重要性。由于其產(chǎn)品廣泛應(yīng)用于關(guān)鍵領(lǐng)域，此次事件引起了社會(huì)廣泛關(guān)注。問(wèn)題源于?？低暟踩T(mén)的認(rèn)證機(jī)制漏洞，導(dǎo)致敏感信息被竊。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.了解登錄認(rèn)證

登錄認(rèn)證是在Web應(yīng)用程序中實(shí)現(xiàn)身份驗(yàn)證和授權(quán)的過(guò)程。在用戶嘗試登錄到Web應(yīng)用程序時(shí)，登錄認(rèn)證將驗(yàn)證用戶的身份并授予相應(yīng)的訪問(wèn)權(quán)限。通常，登錄認(rèn)證包括兩個(gè)步驟：身份驗(yàn)證和授權(quán)。①身份驗(yàn)證②授權(quán)2.創(chuàng)建登錄頁(yè)面①確定登錄表單中所需字段②確定登錄表單的布局③添加驗(yàn)證碼顯示3.判斷登錄狀態(tài)①引入頭文件②判斷是否為管理員③實(shí)現(xiàn)用戶密碼判斷邏輯4.增加驗(yàn)證碼①實(shí)現(xiàn)驗(yàn)證碼的生成②實(shí)現(xiàn)驗(yàn)證碼的獲取教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目二任務(wù)二《登錄認(rèn)證漏洞形成原理》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱登錄認(rèn)證漏洞形成原理授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：理解登錄認(rèn)證漏洞形成的原理。2、知識(shí)準(zhǔn)備：PHP開(kāi)發(fā)語(yǔ)言基礎(chǔ)。3、任務(wù)實(shí)施：理解登錄認(rèn)證漏洞形成的原理。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫(kù)交互知識(shí)，具備了數(shù)據(jù)庫(kù)操作使用的基本能力和數(shù)據(jù)庫(kù)常見(jiàn)漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉登錄認(rèn)證漏洞的概念。2、熟悉登錄認(rèn)證漏洞的分類(lèi)。3、了解登錄認(rèn)證漏洞的危害。能力目標(biāo)1、熟悉登錄認(rèn)證漏洞的類(lèi)型。

2、掌握登錄認(rèn)證漏洞的特點(diǎn)。素質(zhì)目標(biāo)1、養(yǎng)成精益求精的工作作風(fēng)。2、樹(shù)立良好的網(wǎng)絡(luò)安全意識(shí)。教學(xué)重點(diǎn)登錄認(rèn)證漏洞形成原理教學(xué)難點(diǎn)登錄認(rèn)證漏洞分類(lèi)的理解二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：登錄認(rèn)證漏洞形成原理措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：登錄認(rèn)證漏洞分類(lèi)的理解措施：老師講解加演示三、教學(xué)實(shí)施第2次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)二登錄認(rèn)證漏洞分類(lèi)的理解引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.熟悉登錄認(rèn)證漏洞的概念

2.熟悉登錄認(rèn)證漏洞的分類(lèi)

3.了解登錄認(rèn)證漏洞的危害教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.登錄認(rèn)證漏洞的概念

登錄認(rèn)證漏洞是指攻擊者可以利用應(yīng)用程序的漏洞來(lái)繞過(guò)正常的身份驗(yàn)證程序，從而成功登錄系統(tǒng)或者應(yīng)用程序，獲得未經(jīng)授權(quán)的訪問(wèn)權(quán)限。2.登錄認(rèn)證漏洞的分類(lèi)①密碼猜測(cè)②會(huì)話劫持③跨站點(diǎn)請(qǐng)求偽造④SQL注入

⑤社會(huì)工程學(xué)攻擊3.登錄認(rèn)證漏洞的危害登錄認(rèn)證漏洞會(huì)導(dǎo)致數(shù)據(jù)泄露、資源濫用、惡意篡改等安全事件發(fā)生。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目二任務(wù)三《登錄認(rèn)證漏洞檢測(cè)與驗(yàn)證》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱登錄認(rèn)證漏洞檢測(cè)與驗(yàn)證授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：熟悉登錄認(rèn)證漏洞的檢測(cè)以及漏洞驗(yàn)證。2、知識(shí)準(zhǔn)備：登錄認(rèn)證漏洞原理。3、任務(wù)實(shí)施：利用Burp對(duì)登錄認(rèn)證頁(yè)面進(jìn)行漏洞檢測(cè)和漏洞驗(yàn)證。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫(kù)交互知識(shí)，具備了數(shù)據(jù)庫(kù)操作使用的基本能力和數(shù)據(jù)庫(kù)常見(jiàn)漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、驗(yàn)證碼重放漏洞。2、用戶探測(cè)漏洞驗(yàn)證。3、弱口令漏洞驗(yàn)證。能力目標(biāo)1、能夠檢測(cè)出登錄認(rèn)證中存在的漏洞。

2、能夠?qū)Φ卿浾J(rèn)證中存在的漏洞進(jìn)行安全驗(yàn)證。素質(zhì)目標(biāo)1、養(yǎng)成精益求精的工作作風(fēng)。2、樹(shù)立良好的網(wǎng)絡(luò)安全意識(shí)。教學(xué)重點(diǎn)登錄認(rèn)證漏洞的檢測(cè)以及驗(yàn)證方法教學(xué)難點(diǎn)登錄認(rèn)證漏洞的利用二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：登錄認(rèn)證漏洞的檢測(cè)以及驗(yàn)證方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：登錄認(rèn)證漏洞的利用措施：老師講解加演示三、教學(xué)實(shí)施第3次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三登錄認(rèn)證漏洞檢測(cè)與驗(yàn)證引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.驗(yàn)證碼重放漏洞

2.用戶探測(cè)漏洞驗(yàn)證

3.弱口令漏洞驗(yàn)證教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.驗(yàn)證碼重放漏洞

①配置Burp代理監(jiān)聽(tīng)②訪問(wèn)后臺(tái)登錄界面③攔截登錄請(qǐng)求④重發(fā)驗(yàn)證碼2.用戶名探測(cè)漏洞驗(yàn)證①使用Burp抓取登錄請(qǐng)求②將登錄請(qǐng)求轉(zhuǎn)發(fā)至Intruder中③配置爆破字典④根據(jù)響應(yīng)結(jié)果找到正確的用戶名3.弱口令漏洞驗(yàn)證①使用Burp抓取登錄請(qǐng)求②將登錄請(qǐng)求轉(zhuǎn)發(fā)至Intruder中③配置爆破字典④根據(jù)響應(yīng)結(jié)果找到正確的密碼教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目二任務(wù)四《錄認(rèn)證漏洞修復(fù)與防范》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱登錄認(rèn)證漏洞修復(fù)與防范授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：熟悉登錄認(rèn)證漏洞的修復(fù)方法與防范措施。2、知識(shí)準(zhǔn)備：登錄認(rèn)證漏洞原理、PHP后端開(kāi)發(fā)基礎(chǔ)。3、任務(wù)實(shí)施：修復(fù)博客系統(tǒng)中存在的登錄認(rèn)證漏洞并進(jìn)行驗(yàn)證。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫(kù)交互知識(shí)，具備了數(shù)據(jù)庫(kù)操作使用的基本能力和數(shù)據(jù)庫(kù)常見(jiàn)漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、驗(yàn)證碼重放漏洞修復(fù)。2、用戶名探測(cè)漏洞修復(fù)。3、弱口令漏洞修復(fù)。能力目標(biāo)1、能夠修復(fù)登錄認(rèn)證中存在的漏洞。

2、能夠?qū)σ研迯?fù)的漏洞進(jìn)行復(fù)測(cè)。素質(zhì)目標(biāo)1、養(yǎng)成精益求精的工作作風(fēng)。2、樹(shù)立良好的網(wǎng)絡(luò)安全意識(shí)。教學(xué)重點(diǎn)登錄認(rèn)證漏洞的修復(fù)以及防范方法教學(xué)難點(diǎn)登錄認(rèn)證漏洞的修復(fù)二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：登錄認(rèn)證漏洞的修復(fù)以及防范方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：登錄認(rèn)證漏洞的修復(fù)措施：老師講解加演示三、教學(xué)實(shí)施第4次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)四登錄認(rèn)證漏洞修復(fù)與防范引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.驗(yàn)證碼重放漏洞修復(fù)

2.用戶探測(cè)漏洞修復(fù)

3.弱口令漏洞修復(fù)教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.驗(yàn)證碼重放漏洞修復(fù)

修改博客系統(tǒng)代碼使用戶請(qǐng)求admin/check.php后將存儲(chǔ)在Session會(huì)話中的驗(yàn)證碼值銷(xiāo)毀即可讓驗(yàn)證碼只能使用一次、防止出現(xiàn)驗(yàn)證碼重放的問(wèn)題并進(jìn)行修復(fù)驗(yàn)證。2.用戶名探測(cè)漏洞修復(fù)修改博客系統(tǒng)源碼使用戶名錯(cuò)誤以及密碼錯(cuò)誤的響應(yīng)提示設(shè)置得較為模糊例如：用戶名或密碼錯(cuò)誤、登錄失敗、請(qǐng)求錯(cuò)誤等讓攻擊者無(wú)法判斷是用戶名錯(cuò)誤還是密碼錯(cuò)誤。最后進(jìn)行修復(fù)驗(yàn)證。3.弱口令漏洞修復(fù)修改博客系統(tǒng)代碼使用限制登錄次數(shù)的方案防止暴力破解的發(fā)生，通過(guò)在代碼中增加對(duì)IP地址的判斷，實(shí)現(xiàn)對(duì)登錄次數(shù)的限制并進(jìn)行修復(fù)驗(yàn)證。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目三任務(wù)一《利用數(shù)據(jù)庫(kù)實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)頁(yè)》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱利用數(shù)據(jù)庫(kù)實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)頁(yè)授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：利用PHP實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)頁(yè)。2、知識(shí)準(zhǔn)備：PHP數(shù)據(jù)庫(kù)連接和數(shù)據(jù)庫(kù)增刪查改相關(guān)知識(shí)。3、任務(wù)實(shí)施：利用PHP實(shí)現(xiàn)用戶身份存儲(chǔ)、文章存儲(chǔ)以及文章的搜索。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫(kù)交互知識(shí)，具備了數(shù)據(jù)庫(kù)操作使用的基本能力和數(shù)據(jù)庫(kù)常見(jiàn)漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉SQL的基本操作。2、熟悉動(dòng)態(tài)網(wǎng)頁(yè)的實(shí)現(xiàn)方法。能力目標(biāo)1、能夠?qū)崿F(xiàn)數(shù)據(jù)庫(kù)的增刪查改。2、能夠使用PHP實(shí)現(xiàn)數(shù)據(jù)庫(kù)交互功能。素質(zhì)目標(biāo)1、養(yǎng)成執(zhí)著專(zhuān)注的工作習(xí)慣。2、樹(shù)立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)。教學(xué)重點(diǎn)利用數(shù)據(jù)庫(kù)實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)頁(yè)教學(xué)難點(diǎn)PHP實(shí)現(xiàn)數(shù)據(jù)庫(kù)交互功能二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：利用數(shù)據(jù)庫(kù)實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)頁(yè)措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：PHP實(shí)現(xiàn)數(shù)據(jù)庫(kù)交互功能措施：老師講解加演示三、教學(xué)實(shí)施第1次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)一登錄認(rèn)證功能實(shí)現(xiàn)引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.了解數(shù)據(jù)庫(kù)2.使用數(shù)據(jù)庫(kù)存儲(chǔ)用戶身份3.使用數(shù)據(jù)庫(kù)存儲(chǔ)文章

4.實(shí)現(xiàn)文章搜索情景引入：自1999年以來(lái)，SQL注入一直是主要的安全漏洞，2020年OWASPTOP10中仍列首位。2008年，SQL注入導(dǎo)致經(jīng)濟(jì)損失，聯(lián)合國(guó)官網(wǎng)在2010年也遭攻擊。2011年，多個(gè)機(jī)構(gòu)將SQL注入視為頭號(hào)安全威脅。2012年，Barclaycard報(bào)告97%的數(shù)據(jù)泄露由SQL注入引起，短時(shí)間內(nèi)百萬(wàn)網(wǎng)頁(yè)受害。2014年，美國(guó)海軍的web應(yīng)用遭黑客攻擊，導(dǎo)致22萬(wàn)個(gè)人信息泄露，事后修復(fù)成本超過(guò)50萬(wàn)美元。SQL注入依然是難以解決的安全問(wèn)題，攻擊方法簡(jiǎn)單高效，黑客利用自動(dòng)化工具進(jìn)行攻擊，形成僵尸網(wǎng)絡(luò)。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.了解數(shù)據(jù)庫(kù)

數(shù)據(jù)庫(kù)是指按照一定數(shù)據(jù)模型組織、存儲(chǔ)和管理數(shù)據(jù)的集合。常見(jiàn)的數(shù)據(jù)庫(kù)有關(guān)系型數(shù)據(jù)庫(kù)（如MySQL、Oracle、SQLServer等）和非關(guān)系型數(shù)據(jù)庫(kù)（如MongoDB、Redis、Cassandra等）。掌握：

①SELECT：查詢數(shù)據(jù)②INSERT：插入數(shù)據(jù)③UPDATE：更新數(shù)據(jù)④DELETE：刪除數(shù)據(jù)2.使用數(shù)據(jù)庫(kù)存儲(chǔ)用戶身份①創(chuàng)建存儲(chǔ)用戶身份信息的表②寫(xiě)入用戶身份信息③登錄認(rèn)證時(shí)查詢數(shù)據(jù)庫(kù)存儲(chǔ)的身份分析進(jìn)行校驗(yàn)3.使用數(shù)據(jù)庫(kù)存儲(chǔ)文章①創(chuàng)建blog_article表②文章的顯示和編輯③評(píng)論的顯示和編輯4.實(shí)現(xiàn)文章搜索①文章的模糊匹配②文章的分頁(yè)查詢教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目三任務(wù)二《SQL注入漏洞形成原理》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱SQL注入漏洞形成原理授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：理解SQL注入漏洞形成的原理。2、知識(shí)準(zhǔn)備：PHP開(kāi)發(fā)語(yǔ)言基礎(chǔ)。3、任務(wù)實(shí)施：理解SQL注入漏洞形成的原理。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫(kù)交互知識(shí)，具備了數(shù)據(jù)庫(kù)操作使用的基本能力和數(shù)據(jù)庫(kù)常見(jiàn)漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉SQL注入漏洞的概念。2、熟悉SQL注入漏洞的分類(lèi)。3、了解SQL注入漏洞的危害。能力目標(biāo)1、熟悉SQL注入漏洞的類(lèi)型。2、掌握SQL注入漏洞的特點(diǎn)。素質(zhì)目標(biāo)1、養(yǎng)成執(zhí)著專(zhuān)注的工作習(xí)慣。2、樹(shù)立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)。教學(xué)重點(diǎn)SQL注入漏洞形成原理教學(xué)難點(diǎn)SQL注入漏洞分類(lèi)的理解二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：SQL注入漏洞形成原理措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：SQL注入漏洞分類(lèi)的理解措施：老師講解加演示三、教學(xué)實(shí)施第2次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)二SQL注入漏洞分類(lèi)的理解引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.熟悉SQL注入漏洞的概念

2.熟悉SQL注入漏洞的分類(lèi)

3.了解SQL注入漏洞的危害教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.SQL注入漏洞的概念

如果Web應(yīng)用程序的開(kāi)發(fā)人員對(duì)用戶所輸入的數(shù)據(jù)或cookie等內(nèi)容不進(jìn)行過(guò)濾或驗(yàn)證(即存在注入點(diǎn))就直接傳輸給數(shù)據(jù)庫(kù)，就可能導(dǎo)致拼接的SQL被執(zhí)行，獲取對(duì)數(shù)據(jù)庫(kù)的信息以及提權(quán)，發(fā)生SQL注入攻擊。2.SQL注入漏洞的分類(lèi)但凡使用數(shù)據(jù)庫(kù)開(kāi)發(fā)的應(yīng)用系統(tǒng)，都可能存在SQL注入攻擊的媒介。按照不同的維度，SQL注入漏洞可以劃分為不同的類(lèi)型。通常的劃分方法包括按照注入點(diǎn)數(shù)據(jù)類(lèi)型、數(shù)據(jù)提交方式、獲取信息方式三種。3.SQL注入漏洞的危害SQL注入漏洞會(huì)導(dǎo)致數(shù)據(jù)庫(kù)信息泄露、網(wǎng)頁(yè)篡改、服務(wù)器被遠(yuǎn)程控制等。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目三任務(wù)三《SQL注入漏洞檢測(cè)與驗(yàn)證》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱SQL注入漏洞檢測(cè)與驗(yàn)證授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：熟悉SQL注入漏洞的檢測(cè)以及漏洞驗(yàn)證。2、知識(shí)準(zhǔn)備：SQL注入漏洞原理。3、任務(wù)實(shí)施：利用Burp對(duì)博客系統(tǒng)進(jìn)行漏洞檢測(cè)和漏洞驗(yàn)證。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫(kù)交互知識(shí)，具備了數(shù)據(jù)庫(kù)操作使用的基本能力和數(shù)據(jù)庫(kù)常見(jiàn)漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、繞過(guò)后臺(tái)登錄（字符型注入）。2、文章頁(yè)面注入（數(shù)字型注入）。3、搜索框注入（搜索框注入）。4、SQL注入漏洞進(jìn)階。能力目標(biāo)1、能夠檢測(cè)出系統(tǒng)中存在的漏洞。2、能夠?qū)QL注入漏洞進(jìn)行安全驗(yàn)證。素質(zhì)目標(biāo)1、養(yǎng)成執(zhí)著專(zhuān)注的工作習(xí)慣。2、樹(shù)立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)。教學(xué)重點(diǎn)SQL注入漏洞的檢測(cè)以及驗(yàn)證方法教學(xué)難點(diǎn)SQL注入漏洞的利用二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：SQL注入漏洞的檢測(cè)以及驗(yàn)證方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：SQL注入漏洞的利用措施：老師講解加演示三、教學(xué)實(shí)施第3次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三SQL注入漏洞檢測(cè)與驗(yàn)證引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.繞過(guò)后臺(tái)登錄（字符型注入）

2.文章頁(yè)面注入（數(shù)字型注入）

3.搜索框注入（搜索框注入）

4.SQL注入漏洞進(jìn)階教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.繞過(guò)后臺(tái)登錄（字符型注入）

①博客系統(tǒng)漏洞點(diǎn)分析②使用Burp抓取登錄請(qǐng)求③發(fā)送漏洞利用代碼④驗(yàn)證利用結(jié)果2.文章頁(yè)面注入（數(shù)字型注入）①博客系統(tǒng)漏洞點(diǎn)分析②漏洞利用參數(shù)構(gòu)造③手動(dòng)注入測(cè)試3.搜索框注入（搜索框注入）①博客系統(tǒng)漏洞點(diǎn)分析②搜索框漏洞利用參數(shù)構(gòu)造③驗(yàn)證利用結(jié)果

3.SQL注入進(jìn)階①盲注漏洞②堆疊注入③二次注入教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目三任務(wù)四《SQL注入漏洞修復(fù)與防范》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱SQL注入漏洞修復(fù)與防范授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：熟悉SQL注入漏洞的修復(fù)方法與防范措施。2、知識(shí)準(zhǔn)備：SQL注入漏洞原理、PHP后端開(kāi)發(fā)基礎(chǔ)。3、任務(wù)實(shí)施：修復(fù)博客系統(tǒng)中存在的SQL注入漏洞并進(jìn)行驗(yàn)證。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫(kù)交互知識(shí)，具備了數(shù)據(jù)庫(kù)操作使用的基本能力和數(shù)據(jù)庫(kù)常見(jiàn)漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、參數(shù)化查詢。2、繞過(guò)后臺(tái)登錄修復(fù)（字符型）。3、文章頁(yè)面注入漏洞修復(fù)（數(shù)字型注入）。4、搜索框注入漏洞修復(fù)（搜索框注入）。能力目標(biāo)1、能夠修復(fù)系統(tǒng)中存在的漏洞。2、能夠?qū)σ研迯?fù)的漏洞進(jìn)行復(fù)測(cè)。素質(zhì)目標(biāo)1、養(yǎng)成執(zhí)著專(zhuān)注的工作習(xí)慣。2、樹(shù)立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)。教學(xué)重點(diǎn)SQL注入漏洞的修復(fù)以及防范方法教學(xué)難點(diǎn)SQL注入漏洞的修復(fù)二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：SQL注入漏洞的修復(fù)以及防范方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：SQL注入漏洞的修復(fù)措施：老師講解加演示三、教學(xué)實(shí)施第4次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)四SQL注入漏洞修復(fù)與防范引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.參數(shù)化查詢

2.繞過(guò)后臺(tái)登錄修復(fù)（字符型）

3.文章頁(yè)面注入漏洞修復(fù)（數(shù)字型注入）

4.搜索框注入漏洞修復(fù)（搜索框注入）教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.參數(shù)化查詢

參數(shù)化查詢是一種防止SQL注入攻擊的數(shù)據(jù)庫(kù)查詢方法。它通過(guò)將SQL查詢語(yǔ)句和查詢參數(shù)分離，以一種安全的方式傳遞用戶提供的輸入?yún)?shù)，從而避免了SQL注入攻擊。2.繞過(guò)后臺(tái)登錄修復(fù)（字符型）修改博客系統(tǒng)源碼使用參數(shù)化查詢，將SQL語(yǔ)句中的變量通過(guò)占位符的方式傳入，而不是通過(guò)字符串拼接的方式。最后進(jìn)行修復(fù)驗(yàn)證。3.文章頁(yè)面注入漏洞修復(fù)（數(shù)字型注入）修改博客系統(tǒng)代碼使用預(yù)處理語(yǔ)句和綁定參數(shù)確保查詢參數(shù)被視為值而不是SQL代碼的一部分。預(yù)處理語(yǔ)句會(huì)先將SQL語(yǔ)句和參數(shù)分開(kāi)處理，再發(fā)送到MySQL服務(wù)器，從而有效地減少了SQL注入的風(fēng)險(xiǎn)。4.搜索框注入漏洞修復(fù)（搜索框注入）修改博客系統(tǒng)代碼使用參數(shù)化查詢來(lái)避免SQL注入攻擊。例如，使用mysqli_prepare()函數(shù)來(lái)準(zhǔn)備查詢，然后使用mysqli_stmt_bind_param()函數(shù)來(lái)綁定參數(shù)。。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目四任務(wù)一《博客系統(tǒng)相關(guān)功能實(shí)現(xiàn)》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱博客系統(tǒng)相關(guān)功能實(shí)現(xiàn)授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：利用PHP實(shí)現(xiàn)文章發(fā)布相關(guān)與評(píng)論功能。2、知識(shí)準(zhǔn)備：PHP數(shù)據(jù)庫(kù)連接和數(shù)據(jù)庫(kù)增刪查改相關(guān)知識(shí)。3、任務(wù)實(shí)施：利用PHP實(shí)現(xiàn)文章發(fā)布相關(guān)與評(píng)論功能。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫(kù)交互知識(shí)，具備了數(shù)據(jù)庫(kù)操作使用的基本能力和數(shù)據(jù)庫(kù)常見(jiàn)漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉數(shù)據(jù)庫(kù)增刪查改的操作方法。2、熟悉PHP數(shù)據(jù)庫(kù)交互的功能編寫(xiě)方法。能力目標(biāo)1、能夠?qū)崿F(xiàn)數(shù)據(jù)庫(kù)的增刪查改。2、能夠使用PHP實(shí)現(xiàn)數(shù)據(jù)庫(kù)交互功能。素質(zhì)目標(biāo)1、養(yǎng)成良好的上網(wǎng)行為習(xí)慣。2、增強(qiáng)網(wǎng)絡(luò)安全法律意識(shí)。教學(xué)重點(diǎn)PHP實(shí)現(xiàn)數(shù)據(jù)庫(kù)交互功能教學(xué)難點(diǎn)使用PHP實(shí)現(xiàn)安全的數(shù)據(jù)庫(kù)交互功能二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：PHP實(shí)現(xiàn)數(shù)據(jù)庫(kù)交互功能措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：使用PHP實(shí)現(xiàn)安全的數(shù)據(jù)庫(kù)交互功能措施：老師講解加演示三、教學(xué)實(shí)施第1次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)一博客系統(tǒng)相關(guān)功能實(shí)現(xiàn)引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.文章發(fā)布相關(guān)功能2.評(píng)論功能實(shí)現(xiàn)情景引入：2010年Twitter發(fā)生一起蠕蟲(chóng)攻擊，一位名叫MikkoHypponen的安全專(zhuān)家在Twitter上發(fā)布了一條推文，內(nèi)容為“不要點(diǎn)擊這個(gè)”。這條推文包含了一個(gè)惡意的短鏈接，點(diǎn)擊鏈接后會(huì)將蠕蟲(chóng)嵌入用戶的Twitter賬戶中，短短數(shù)小時(shí)就傳播感染了數(shù)百萬(wàn)用戶。這個(gè)事件引起了廣泛關(guān)注，也提醒我們要警惕惡意鏈接和腳本，加強(qiáng)對(duì)自己賬戶的保護(hù)學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)引入思政：用Twitter蠕蟲(chóng)攻擊事件的案例，引導(dǎo)學(xué)生養(yǎng)成良好的上網(wǎng)習(xí)慣，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)。1.文章發(fā)布相關(guān)功能①PHP使用mysqli擴(kuò)展創(chuàng)建愛(ài)你數(shù)據(jù)庫(kù)連接②數(shù)據(jù)庫(kù)創(chuàng)建文章表③編寫(xiě)文章發(fā)布頁(yè)面的代碼④顯示文章列表⑤顯示單篇文章⑥編輯文章功能⑦刪除文章功能2.評(píng)論功能實(shí)現(xiàn)①數(shù)據(jù)庫(kù)創(chuàng)建評(píng)論表②在文章頁(yè)面中顯示評(píng)論③刪除評(píng)論功能教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目四任務(wù)二《跨站腳本攻擊的原理》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱跨站腳本攻擊的原理授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：理解跨站腳本攻擊的原理和類(lèi)型。2、知識(shí)準(zhǔn)備：HTML、JavaScript、CSS前端開(kāi)發(fā)語(yǔ)言基礎(chǔ)。3、任務(wù)實(shí)施：理解跨站腳本攻擊的原理和類(lèi)型。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了如何實(shí)現(xiàn)文章和評(píng)論的發(fā)布功能，具備了數(shù)據(jù)庫(kù)操作使用的基本能力和PHP實(shí)現(xiàn)數(shù)據(jù)庫(kù)交互功能的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉跨站腳本攻擊的原理。2、熟悉跨站腳本攻擊的分類(lèi)。能力目標(biāo)1、能夠理解跨站腳本攻擊的原理。2、能夠理解跨站腳本攻擊的分類(lèi)。素質(zhì)目標(biāo)1、養(yǎng)成良好的上網(wǎng)行為習(xí)慣。2、增強(qiáng)網(wǎng)絡(luò)安全法律意識(shí)。教學(xué)重點(diǎn)跨站腳本攻擊的原理教學(xué)難點(diǎn)跨站腳本攻擊的三種形式的區(qū)別二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：跨站腳本攻擊的原理措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：跨站腳本攻擊的三種形式的區(qū)別措施：老師講解加演示三、教學(xué)實(shí)施第2次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)二跨站腳本攻擊的原理引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.反射型XSS2.存儲(chǔ)型XSS3.DOM型XSS教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.反射型XSS反射型XSS（Cross-SiteScripting）攻擊是通過(guò)向用戶發(fā)送包含惡意腳本的鏈接或者欺騙用戶點(diǎn)擊鏈接來(lái)實(shí)現(xiàn)攻擊的一種方式。與存儲(chǔ)型XSS攻擊不同，反射型XSS攻擊并不需要攻擊者將惡意腳本存儲(chǔ)在目標(biāo)網(wǎng)站上，而是將惡意腳本作為參數(shù)發(fā)送到目標(biāo)網(wǎng)站上，目標(biāo)網(wǎng)站將惡意腳本反射回用戶的瀏覽器執(zhí)行，從而完成攻擊。2.存儲(chǔ)型XSS存儲(chǔ)型XSS（Cross-SiteScripting）攻擊是一種存儲(chǔ)再加載的攻擊方式。攻擊者向Web應(yīng)用程序提交帶有惡意腳本的數(shù)據(jù)，例如評(píng)論、留言、上傳文件等，當(dāng)其他用戶訪問(wèn)包含惡意腳本的數(shù)據(jù)時(shí)，惡意腳本會(huì)被注入到頁(yè)面中并執(zhí)行。3.DOM型XSSDOM型XSS（Cross-SiteScripting）攻擊是一種基于瀏覽器端的XSS攻擊方式，攻擊者構(gòu)造特定的URL或表單，將惡意腳本注入到Web頁(yè)面中，通過(guò)修改DOM（文檔對(duì)象模型）來(lái)達(dá)到攻擊的目的。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目四任務(wù)三《跨站腳本漏洞檢測(cè)與驗(yàn)證》任務(wù)四《跨站腳本漏洞修復(fù)與防范》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱跨站腳本漏洞檢測(cè)與驗(yàn)證、跨站腳本漏洞修復(fù)與防范授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：檢測(cè)和利用跨站腳本漏洞，對(duì)跨站腳本漏洞進(jìn)行修復(fù)和防范。2、知識(shí)準(zhǔn)備：HTML、JavaScript、CSS前端開(kāi)發(fā)語(yǔ)言基礎(chǔ)。3、任務(wù)實(shí)施：檢測(cè)和利用博客系統(tǒng)中的跨站腳本漏洞，針對(duì)博客系統(tǒng)相關(guān)功能存在的跨站腳本漏洞進(jìn)行修復(fù)和防范。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了跨站腳本攻擊原理和分類(lèi)的知識(shí)，具備了跨站腳本攻擊相關(guān)的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉跨站腳本漏洞的檢測(cè)方法。2、熟悉跨站腳本漏洞的利用方法。3、熟悉跨站腳本漏洞的修復(fù)防范方法。能力目標(biāo)1、能夠檢測(cè)出跨站腳本漏洞。2、能夠利用跨站腳本漏洞。3、能夠?qū)崿F(xiàn)對(duì)跨站腳本漏洞的修復(fù)和防范。素質(zhì)目標(biāo)1、養(yǎng)成良好的上網(wǎng)行為習(xí)慣。2、增強(qiáng)網(wǎng)絡(luò)安全法律意識(shí)。教學(xué)重點(diǎn)跨站腳本漏洞的檢測(cè)、跨站腳本漏洞的修復(fù)和防范的三種方法教學(xué)難點(diǎn)跨站腳本漏洞的利用二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：跨站腳本漏洞的檢測(cè)、跨站腳本漏洞的修復(fù)和防范的三種方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：跨站腳本漏洞的利用措施：老師講解加演示三、教學(xué)實(shí)施第3次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三跨站腳本漏洞檢測(cè)與利用引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.檢測(cè)跨站腳本漏洞2.利用跨站腳本漏洞任務(wù)四跨站腳本漏洞修復(fù)與防范引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.對(duì)用戶輸入進(jìn)行處理2.使用內(nèi)容安全策略3.使用安全Cookie教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)任務(wù)三跨站腳本漏洞檢測(cè)與利用1.檢測(cè)跨站腳本漏洞①在應(yīng)用程序中找到一個(gè)輸入字段，例如搜索框、評(píng)論框或聯(lián)系表單。輸入一些HTML或JavaScript代碼②提交輸入并觀察瀏覽器中是否彈出了一個(gè)警告框。如果彈出了警告框，說(shuō)明應(yīng)用程序中存在跨站腳本漏洞③如果沒(méi)有彈出警告框，嘗試在輸入中添加一些其他惡意代碼，例如cookie竊取腳本、重定向腳本或惡意HTML標(biāo)簽。觀察是否能夠成功執(zhí)行這些代碼④如果沒(méi)有發(fā)現(xiàn)跨站腳本漏洞，請(qǐng)嘗試在其他輸入字段中進(jìn)行類(lèi)似的測(cè)試。例如，如果應(yīng)用程序包含一個(gè)上傳文件功能，則可以嘗試上傳包含惡意腳本的HTML文件2.利用跨站腳本漏洞一旦發(fā)現(xiàn)跨站腳本漏洞，攻擊者可以利用該漏洞執(zhí)行以下操作：①竊取用戶會(huì)話令牌或其他敏感信息。攻擊者可以編寫(xiě)JavaScript代碼來(lái)獲取當(dāng)前用戶的cookie，然后將該cookie發(fā)送到攻擊者的服務(wù)器。攻擊者可以使用竊取的cookie登錄用戶的帳戶，并執(zhí)行其他惡意操作。②修改網(wǎng)頁(yè)內(nèi)容。攻擊者可以注入惡意腳本來(lái)更改網(wǎng)頁(yè)內(nèi)容，例如添加廣告、修改表單字段或注入其他惡意代碼。③欺騙用戶。攻擊者可以注入惡意腳本來(lái)模擬合法的網(wǎng)頁(yè)內(nèi)容，例如偽造登錄表單、模擬警告框或創(chuàng)建虛假的鏈接。任務(wù)四跨站腳本漏洞修復(fù)與防范1.對(duì)用戶輸入進(jìn)行處理過(guò)濾輸入數(shù)據(jù)：對(duì)于用戶輸入的數(shù)據(jù)，可以使用過(guò)濾器或正則表達(dá)式等方法進(jìn)行過(guò)濾，去除其中的HTML標(biāo)簽和JavaScript代碼；PHP中可以使用strip_tags()函數(shù)去除HTML標(biāo)簽；JavaScript中可以使用innerHTML屬性去除HTML標(biāo)簽，使用encodeURI()函數(shù)編碼URL等。2.使用內(nèi)容安全策略內(nèi)容安全策略（ContentSecurityPolicy，CSP）是一種現(xiàn)代的防御跨站腳本攻擊的方式。CSP允許網(wǎng)站管理員指定允許加載的內(nèi)容的來(lái)源，從而防止惡意腳本或其他不受信任的內(nèi)容加載到頁(yè)面上。3.使用安全CookieCookie是一個(gè)常見(jiàn)的用于存儲(chǔ)用戶會(huì)話信息的機(jī)制，但是Cookie也存在安全風(fēng)險(xiǎn)。攻擊者可以通過(guò)劫持Cookie來(lái)冒充用戶，或者通過(guò)修改Cookie來(lái)實(shí)現(xiàn)其他攻擊。為了保護(hù)Cookie，可以使用安全Cookie，也稱為HTTP-onlyCookie。安全Cookie只能通過(guò)HTTP請(qǐng)求訪問(wèn)，無(wú)法通過(guò)客戶端腳本（如Javascript）訪問(wèn)。這樣可以防止跨站腳本攻擊等攻擊方式。在PHP中，可以通過(guò)setcookie()函數(shù)來(lái)設(shè)置安全Cookie。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目五任務(wù)一《博客系統(tǒng)的功能實(shí)現(xiàn)》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱博客系統(tǒng)的功能實(shí)現(xiàn)授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：利用PHP實(shí)現(xiàn)賬戶密碼修改功能。2、知識(shí)準(zhǔn)備：PHP數(shù)據(jù)庫(kù)連接和數(shù)據(jù)庫(kù)增刪查改相關(guān)知識(shí)。3、任務(wù)實(shí)施：利用PHP實(shí)現(xiàn)賬戶密碼修改功能。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫(kù)交互知識(shí)，具備了數(shù)據(jù)庫(kù)操作使用的基本能力和數(shù)據(jù)庫(kù)常見(jiàn)漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉數(shù)據(jù)庫(kù)增刪查改的操作方法。2、熟悉PHP數(shù)據(jù)庫(kù)交互的功能編寫(xiě)方法。能力目標(biāo)1、能夠?qū)崿F(xiàn)數(shù)據(jù)庫(kù)的增刪查改。2、能夠使用PHP實(shí)現(xiàn)數(shù)據(jù)庫(kù)交互功能。素質(zhì)目標(biāo)1、養(yǎng)成個(gè)人敏感信息保護(hù)習(xí)慣。2、提高網(wǎng)絡(luò)安全防范意識(shí)。教學(xué)重點(diǎn)PHP實(shí)現(xiàn)數(shù)據(jù)庫(kù)交互功能教學(xué)難點(diǎn)使用PHP實(shí)現(xiàn)安全的數(shù)據(jù)庫(kù)交互功能二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：PHP實(shí)現(xiàn)數(shù)據(jù)庫(kù)交互功能措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：使用PHP實(shí)現(xiàn)安全的數(shù)據(jù)庫(kù)交互功能措施：老師講解加演示三、教學(xué)實(shí)施第1次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)一博客系統(tǒng)的功能實(shí)現(xiàn)引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.創(chuàng)建表單2.處理表單提交情景引入：2018年雅虎宣布其郵箱系統(tǒng)存在一個(gè)CSRF漏洞，攻擊者通過(guò)構(gòu)造惡意網(wǎng)頁(yè)或者通過(guò)釣魚(yú)郵件等方式，欺騙用戶點(diǎn)擊惡意鏈接，觸發(fā)跨站請(qǐng)求偽造攻擊。攻擊者可以通過(guò)偽造的請(qǐng)求，訪問(wèn)用戶的郵件，查看郵件內(nèi)容，修改用戶的郵件，刪除用戶的郵件等惡意操作.這個(gè)漏洞使得大量用戶的隱私受到了威脅，雅虎隨后對(duì)這個(gè)漏洞進(jìn)行了修復(fù)，并且在其官方博客中發(fā)布了安全公告，提醒用戶加強(qiáng)密碼安全，使用雙因素認(rèn)證等措施，以保護(hù)自己的賬戶安全。這個(gè)事件提醒用戶們注意保護(hù)自己的隱私安全，不要輕易點(diǎn)擊來(lái)自不可信來(lái)源的鏈接，注意賬戶和密碼的安全性，避免泄露個(gè)人信息。同時(shí)，對(duì)于開(kāi)發(fā)者們來(lái)說(shuō)，也提醒我們要注意驗(yàn)證和過(guò)濾用戶提交的請(qǐng)求，以避免類(lèi)似的漏洞發(fā)生。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)引入思政：用雅虎郵箱CSRF漏洞攻擊事件的案例，引導(dǎo)學(xué)生養(yǎng)成良好的上網(wǎng)習(xí)慣，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)。1.創(chuàng)建表單在前端頁(yè)面上添加一個(gè)口令修改表單，其中包括原口令、新密碼和確認(rèn)新密碼等字段，用戶可以在表單中輸入相關(guān)信息：<formmethod="post"action="password_change.php"><labelfor="new_password">新密碼</label><inputtype="password"name="new_password"id="new_password"required><br><labelfor="confirm_password">確認(rèn)新密碼</label><inputtype="password"name="confirm_password"id="confirm_password"required><br><buttontype="submit">修改口令</button></form>2.處理表單提交在后端服務(wù)器端，接收前端發(fā)送的口令修改請(qǐng)求，并對(duì)用戶提交的表單數(shù)據(jù)進(jìn)行驗(yàn)證，比如檢查新密碼和確認(rèn)新密碼是否一致。如果數(shù)據(jù)驗(yàn)證失敗，則返回錯(cuò)誤提示；否則，更新用戶的密碼信息。再將用戶輸入的新密碼進(jìn)行加密處理，然后更新到數(shù)據(jù)庫(kù)中，用于下次用戶登錄時(shí)進(jìn)行驗(yàn)證。<?phpsession_start();//驗(yàn)證用戶是否已登錄if(!isset($_SESSION['user_id'])){header('Location:login.php');exit();}//處理表單提交if(isset($_POST['new_password'])&&isset($_POST['confirm_password'])){$new_password=$_POST['new_password'];$confirm_password=$_POST['confirm_password'];//連接數(shù)據(jù)庫(kù)$db=newPDO('mysql:host=localhost;dbname=blog','username','password');//檢查新密碼是否匹配確認(rèn)密碼if($new_password===$confirm_password){//更新用戶的密碼$stmt=$db->prepare('UPDATEusersSETpassword=?WHEREid=?');$stmt->execute([password_hash($new_password,PASSWORD_DEFAULT),$_SESSION['user_id']]);echo'密碼已更新！';}else{echo'新密碼與確認(rèn)密碼不匹配。';}?>教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目五任務(wù)二《跨站請(qǐng)求偽造攻擊的原理》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱跨站請(qǐng)求偽造攻擊的原理授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：理解跨站請(qǐng)求偽造攻擊的原理。2、知識(shí)準(zhǔn)備：HTML、JavaScript、CSS前端知識(shí)及HTTP協(xié)議知識(shí)。3、任務(wù)實(shí)施：理解跨站請(qǐng)求偽造攻擊的原理。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了博客系統(tǒng)修改密碼功能的實(shí)現(xiàn)，具備了數(shù)據(jù)庫(kù)操作使用的WEB表單相關(guān)的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉跨站請(qǐng)求偽造攻擊的步驟。2、熟悉跨站請(qǐng)求偽造攻擊的特點(diǎn)。能力目標(biāo)1、能夠?qū)嵤┛缯菊?qǐng)求偽造攻擊。2、能夠理解跨站請(qǐng)求偽造攻擊的特點(diǎn)。素質(zhì)目標(biāo)1、養(yǎng)成個(gè)人敏感信息保護(hù)習(xí)慣。2、提高網(wǎng)絡(luò)安全防范意識(shí)。教學(xué)重點(diǎn)跨站請(qǐng)求偽造攻擊的步驟教學(xué)難點(diǎn)跨站請(qǐng)求偽造攻擊的特點(diǎn)二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：跨站請(qǐng)求偽造攻擊的步驟措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：跨站請(qǐng)求偽造攻擊的特點(diǎn)措施：老師講解加演示三、教學(xué)實(shí)施第2次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)二跨站請(qǐng)求偽造攻擊的原理引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.CSRF攻擊步驟2.CSRF的特點(diǎn)教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.CSRF攻擊步驟①攻擊者創(chuàng)建一個(gè)偽造的請(qǐng)求，該請(qǐng)求在運(yùn)行時(shí)會(huì)將10,000美元從特定銀行轉(zhuǎn)入攻擊者的賬戶；②攻擊者將偽造的請(qǐng)求嵌入到超鏈接中，以批量電子郵件的形式發(fā)送出去，并將其嵌入到網(wǎng)站中；③受害者點(diǎn)擊攻擊者放置的電子郵件或網(wǎng)站鏈接，導(dǎo)致受害者向銀行提出轉(zhuǎn)賬10,000美元的請(qǐng)求；④銀行服務(wù)器接收到請(qǐng)求，并且由于受害者得到了適當(dāng)?shù)氖跈?quán)，它將請(qǐng)求視為合法并轉(zhuǎn)移資金。2.CSRF的特點(diǎn)①攻擊一般發(fā)起在第三方網(wǎng)站，而不是被攻擊的網(wǎng)站。被攻擊的網(wǎng)站無(wú)法防止攻擊發(fā)生。②攻擊利用受害者在被攻擊網(wǎng)站的登錄憑證，冒充受害者提交操作；而不是直接竊取數(shù)據(jù)。③整個(gè)過(guò)程攻擊者并不能獲取到受害者的登錄憑證，僅僅是“冒用”。④跨站請(qǐng)求可以用各種方式：圖片URL、超鏈接、CORS、Form提交等等。部分請(qǐng)求方式可以直接嵌入在第三方論壇、文章中，難以進(jìn)行追蹤。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目五任務(wù)三《跨站請(qǐng)求偽造漏洞檢測(cè)與利用》任務(wù)四《跨站請(qǐng)求偽造漏洞修復(fù)與防范》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱跨站請(qǐng)求偽造漏洞檢測(cè)與利用、跨站請(qǐng)求偽造漏洞修復(fù)與防范授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：檢測(cè)和利用跨站請(qǐng)求偽造漏洞、對(duì)跨站請(qǐng)求偽造漏洞進(jìn)行修復(fù)和防范。2、知識(shí)準(zhǔn)備：HTML、JavaScript、CSS前端知識(shí)及HTTP協(xié)議知識(shí)。3、任務(wù)實(shí)施：檢測(cè)和利用博客系統(tǒng)中的跨站請(qǐng)求偽造漏洞、針對(duì)博客系統(tǒng)相關(guān)功能存在的跨站請(qǐng)求偽造漏洞進(jìn)行修復(fù)和防范。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了跨站請(qǐng)求偽造漏洞原理和特點(diǎn)的知識(shí)，具備了針對(duì)跨站請(qǐng)求偽造漏洞的利用檢測(cè)及修復(fù)防范的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉跨站請(qǐng)求偽造漏洞的檢測(cè)方法。2、熟悉跨站請(qǐng)求偽造漏洞的利用方法。3、熟悉跨站請(qǐng)求偽造漏洞的修復(fù)防范方法能力目標(biāo)1、能夠檢測(cè)出跨站請(qǐng)求偽造漏洞。2、能夠利用跨站請(qǐng)求偽造漏洞。3、能夠?qū)崿F(xiàn)對(duì)跨站請(qǐng)求偽造漏洞的修復(fù)和防范素質(zhì)目標(biāo)1、養(yǎng)成個(gè)人敏感信息保護(hù)習(xí)慣。2、提高網(wǎng)絡(luò)安全防范意識(shí)。教學(xué)重點(diǎn)跨站請(qǐng)求偽造漏洞的檢測(cè)、跨站請(qǐng)求偽造漏洞的四種修復(fù)防范方法教學(xué)難點(diǎn)跨站請(qǐng)求偽造漏洞的利用二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：跨站請(qǐng)求偽造漏洞的檢測(cè)、跨站請(qǐng)求偽造漏洞的四種修復(fù)防范方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：跨站請(qǐng)求偽造漏洞的利用措施：老師講解加演示三、教學(xué)實(shí)施第3次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三跨站請(qǐng)求偽造漏洞檢測(cè)與驗(yàn)證引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.跨站請(qǐng)求偽造漏洞的檢測(cè)2.跨站請(qǐng)求偽造漏洞的利用任務(wù)四跨站請(qǐng)求偽造漏洞修復(fù)與防范引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.同源檢測(cè)2.SamesiteCookie3.CSRFToken4.特定情況下的必要嚴(yán)重教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)任務(wù)三跨站請(qǐng)求偽造漏洞檢測(cè)與驗(yàn)證1.跨站請(qǐng)求偽造漏洞的檢測(cè)CSRF攻擊是攻擊者借助受害者的cookie騙取服務(wù)器的信任，但是攻擊者并不能拿到cookie，也看不到cookie的內(nèi)容。另外，對(duì)于服務(wù)器返回的結(jié)果，由于瀏覽器同源策略的限制，攻擊者也無(wú)法進(jìn)行解析。因此，攻擊者無(wú)法從返回的結(jié)果中得到任何東西，他所能做的就是給服務(wù)器發(fā)送請(qǐng)求，以執(zhí)行請(qǐng)求中所描述的命令，在服務(wù)器端直接改變數(shù)據(jù)的值，而非竊取服務(wù)器中的數(shù)據(jù)。2.跨站請(qǐng)求偽造漏洞的利用使用BurpSuite截獲信息，并利用CSRF漏洞，先截獲口令修改的http請(qǐng)求包，然后生成CSRFPoc，csrfHTML成功生成后，將其中的html存為一個(gè)單獨(dú)的文件，也可以做一定的迷惑、引誘性偽裝，將其上線到一個(gè)網(wǎng)頁(yè)中發(fā)送給受害者。如果受害者點(diǎn)擊該鏈接，那么他的該站密碼會(huì)修改為我們提前設(shè)置好的字符任務(wù)四跨站請(qǐng)求偽造漏洞修復(fù)與防范1.同源檢測(cè)禁止外域（或者不受信任的域名）對(duì)我們發(fā)起請(qǐng)求。在HTTP協(xié)議中，每一個(gè)異步請(qǐng)求都會(huì)攜帶兩個(gè)Header，用于標(biāo)記來(lái)源域名：OriginHeader和RefererHeader。通過(guò)Header的驗(yàn)證，我們可以知道發(fā)起請(qǐng)求的來(lái)源域名，這些來(lái)源域名可能是網(wǎng)站本域，或者子域名，或者有授權(quán)的第三方域名，又或者來(lái)自不可信的未知域名。在Web應(yīng)用中檢查請(qǐng)求頭中的Header字段，確保請(qǐng)求來(lái)自合法的來(lái)源。但是，這種方式并不是完全可靠的，因?yàn)楣粽呖梢酝ㄟ^(guò)篡改HTTP請(qǐng)求頭的方式繞過(guò)Header檢查。2.SamesiteCookie為了從源頭上解決CSRF攻擊，Google起草了一份草案來(lái)改進(jìn)HTTP協(xié)議，那就是為Set-Cookie響應(yīng)頭新增Samesite屬性，它用來(lái)標(biāo)明這個(gè)Cookie是個(gè)“同站Cookie”，同站Cookie只能作為第一方Cookie，不能作為第三方Cookie。3.CSRFToken在應(yīng)用程序中使用CSRFToken可以有效地防止CSRF攻擊。CSRFToken是在服務(wù)器端生成的一段隨機(jī)字符串，該字符串與用戶會(huì)話相關(guān)聯(lián)，作為表單隱藏字段或請(qǐng)求參數(shù)的一部分，一起發(fā)送給客戶端瀏覽器。當(dāng)客戶端提交表單或請(qǐng)求時(shí)，服務(wù)器端會(huì)驗(yàn)證請(qǐng)求中的Token是否與用戶會(huì)話中的Token一致，如果一致則認(rèn)為請(qǐng)求是合法的，否則拒絕請(qǐng)求。這樣，即使攻擊者成功偽造了請(qǐng)求，也無(wú)法獲取有效的令牌信息，從而無(wú)法完成攻擊。4.特定情況下的必要嚴(yán)重在特定情況下加入一些特定的驗(yàn)證來(lái)防止CSRF攻擊，當(dāng)用戶在應(yīng)用程序中執(zhí)行敏感操作時(shí)，應(yīng)用程序可以要求用戶提供額外的驗(yàn)證信息，例如輸入密碼或者提供其他的身份信息。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問(wèn)讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評(píng)價(jià)小組評(píng)價(jià)和個(gè)人綜合評(píng)價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評(píng)價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目六任務(wù)一《構(gòu)造簡(jiǎn)單的文件上傳》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱構(gòu)造簡(jiǎn)單的文件上傳授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：構(gòu)建一個(gè)基礎(chǔ)的文件上傳功能，實(shí)現(xiàn)前端到服務(wù)器的文件傳輸和存儲(chǔ)。2、知識(shí)準(zhǔn)備：Linux操作系統(tǒng)的使用和PHP語(yǔ)言基礎(chǔ)。3、任務(wù)實(shí)施：實(shí)現(xiàn)一個(gè)簡(jiǎn)單的PHP文件上傳示例，包含前端表單和后端文件保存邏輯。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了如何編寫(xiě)PHP代碼的基礎(chǔ)知識(shí)，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、了解文件上傳的基本概念及其類(lèi)型。2、熟悉PHP文件上傳的功能編寫(xiě)方法。能力目標(biāo)1、能夠理解文件上傳的原理。2、能夠?qū)崿F(xiàn)PHP簡(jiǎn)單的文件上傳。素質(zhì)目標(biāo)1、養(yǎng)成解決問(wèn)題時(shí)的逆向思維能力。2、培養(yǎng)一絲不茍的工作態(tài)度。教學(xué)重點(diǎn)PHP實(shí)現(xiàn)文件上傳功能教學(xué)難點(diǎn)使用PHP實(shí)現(xiàn)文件上傳的交互功能二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：PHP實(shí)現(xiàn)文件上傳交互功能措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：使用PHP實(shí)現(xiàn)安全的文件上傳交互功能措施：老師講解加演示三、教學(xué)實(shí)施第1次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)一構(gòu)造簡(jiǎn)單的文件上傳引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.了解什么是文件上傳2.構(gòu)造簡(jiǎn)單的文件上傳3.文件上傳的類(lèi)型4.