一 原理区别
    一般在浏览器中输入网址访问资源都是通过GET方式；在FORM提交中，可以通过Method指定提交方式为GET或者POST，默认为GET提交
Http定义了与服务器交互的不同方法，最基本的方法有4种，分别是GET，POST，PUT，DELETE
URL全称是资源描述符，我们可以这样认 为：一个URL地址，它用于描述一个网络上的资源，而HTTP中的GET，POST，PUT，DELETE就对应着对这个资源的查 ，改 ，增 ，删 4个操作。到这里，大家应该有个大概的了解了，GET一般用于获取/查 询 资源信息，而POST一般用于更新 资源信息(个人认为这是GET和POST的本质区别，也是 协议设计者的本意，其它区别都是具体表现形式的差异 )。
　　根据HTTP规范，GET用于信息获取，而且应该是安全的和幂等 的 。
　　1.所谓安全的意味着该操作用于获取信息而非修改信息。换句话说，GET请求一般不应产生副作用。就是说，它仅仅是获取资源信息，就像数据库查 询一样，不会修改，增加数据，不会影响资源的状态。
　　* 注意：这里安全的含义仅仅是指是非修改信息。
　　2.幂等的意味着对同一URL的多个请求应该返回同样的结果。这里我再解释一下幂等 这个概念：
　　幂等 （idempotent、idempotence）是一个数学或计算机学概念，常见于抽象代数中。
幂等有以下几种定义：
对于单目运算，如果一个运算对于在范围内的所有的一个数多次进行该运算所得的结果和进行一次该运算所得的结果是一样的，那么我们就称该运算是幂等的。 比如绝对值运算就是一个例子，在实数集中，有abs(a) = abs(abs(a)) 。
对于双目运算，则要求当参与运算的两个值是等值的情况下，如果满足运算结果与参与运算的两个值相等，则称该运算幂等，如求两个数的最大值的函数，有在 在实数集中幂等，即max(x,x)  =  x 。
看完上述解释后，应该可以理解GET幂等 的含义了。
　　但在实际应用中，以上2条规定并没有这么严格。引用别人文章的例子：比如，新闻站点的头版不断更新。虽然第二次请求会返回不同的一批新闻，该操 作仍然被认为是安全的和幂等的，因为它总是返回当前的新闻。从根本上说，如果目标是当用户打开一个链接时，他可以确信从自身的角度来看没有改变资源即可。
　　根据HTTP规范，POST表示可能修改变服务器上的资源的请求 。继续引用上面的例子：还是新闻以网站为例，读者对新闻发表自己的评论应该通过POST实现，因为在评论提交后站点的资源已经不同了，或者说资源被修改 了。
　　上面大概说了一下HTTP规范中，GET和POST的一些原理性的问题。但在实际的做的时候，很多人却没有按照HTTP规范去做，导致这个问题 的原因有很多，比如说：
　　1.很多人贪方便，更新资源时用了GET，因为用POST必须要到FORM（表单），这样会麻烦一点。
　　2.对资源的增，删，改，查操作，其实都可以通过GET/POST完成，不需要用到PUT和DELETE。
　　3.另外一个是，早期的但是Web MVC框架设计者们并没 有有意识地将URL当作抽象的资源来看待和设计 。还有一个较为严重的问题是传统的Web MVC框架基本上都只支持GET和POST两种HTTP方法，而不支持PUT和DELETE方法。
 　　* 简单解释一下MVC：MVC本来是存在于Desktop程序中的，M是指数据模型，V是指用户界面，C则是控制器。使用MVC的目的是将M和V的实现代码 分离，从而使同一个程序可以使用不同的表现形式。
　　以上3点典型地描述了老一套的风格（没有严格遵守HTTP规范），随着架构的发展，现在出现REST(Representational State Transfer)，一套支持HTTP规范的新风格，这里不多说了，可以参考《RESTful Web Services》。
二 表现形式区别
   搞清了两者的原理区别，我们再来看一下他们实际应用中的区别：
    为了理解两者在传输过程中的不同，我们先看一下HTTP协议的格式：
    HTTP请求：
<request line>
<headers>
<blank line>
<request-body>]
在HTTP请求中，第一行必须是一个请求行（request line），用来说明请求类型、要访问的资源以及使用的HTTP版本。紧接着是一个首部（header）小节，用来说明服务器要使用的附加信息。在首部之 后是一个空行，再此之后可以添加任意的其他数据[称之为主体（body）]。
GET与POST方法实例：
GET /books/?sex=man&name=Professional HTTP/1.1
Host: www.wrox.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6)
Gecko/20050225 Firefox/1.0.1
Connection: Keep-Alive
POST / HTTP/1.1
Host: www.wrox.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6)
Gecko/20050225 Firefox/1.0.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 40
Connection: Keep-Alive
（----此处空一行----）
name=Professional%20Ajax&publisher=Wiley
 
有了以上对HTTP请求的了解和示例，我们再来看两种提交方式的区别：
   （1）GET提交，请求的数据会附在URL之后（就是把数据放置在HTTP协议头中），以?分割URL和传输数据，多个参数用&连接；例 如：login.action?name=hyddd&password=idontknow&verify=%E4%BD%A0 %E5%A5%BD。如果数据是英文字母/数字，原样发送，如果是空格，转换为+，如果是中文/其他字符，则直接把字符串用BASE64加密，得出如： %E4%BD%A0%E5%A5%BD，其中％XX中的XX为该符号以16进制表示的ASCII。
　　POST提交：把提交的数据放置在是HTTP包的包体中。上文示例中红色字体标明的就是实际的传输数据
     因此，GET提交的数据会在地址栏中显示出来，而POST提交，地址栏不会改变
    (2)传输数据的大小：首先声明：HTTP协议没有对传输的数据大小进行限制，HTTP协议规范也没有对URL长度进行限制。
而在实际开发中存在的限制主要有：
GET:特定浏览器和服务器对URL长度有限制，例如 IE对URL长度的限制是2083字节(2K+35)。对于其他浏览器，如Netscape、FireFox等，理论上没有长度限制，其限制取决于操作系 统的支持。
因此对于GET提交时，传输数据就会受到URL长度的 限制。
POST:由于不是通过URL传值，理论上数据不受 限。但实际各个WEB服务器会规定对post提交数据大小进行限制，Apache、IIS6都有各自的配置。
 (3)安全性：
.POST的安全性要比GET的安全性高。注意：这里所说的安全性和上面GET提到的“安全”不是同个概念。上面“安全”的含义仅仅是不作数据修 改，而这 里安全的含义是真正的Security的含义，比如：通过GET提交数据，用户名和密码将明文出现在URL上，因为(1)登录页面有可能被浏览器缓存， (2)其他人查看浏览器的历史纪录，那么别人就可以拿到你的账号和密码了，除此之外，使用GET提交数据还可能会造成Cross-site request forgery攻击
（4）Http get,post,soap协议都是在http上运行的
1）get：请求参数是作为一个key/value对的序列（查询字符串）附加到URL上的
查询字符串的长度受到web浏览器和web服务器的限制（如IE最多支持2048个字符），不适合传输大型数据集同时，它很不安全
2）post：请求参数是在http标题的一个不同部分（名为entity body）传输的，这一部分用来传输表单信息，因此必须将Content-type设置为:application/x-www-form- urlencoded。post设计用来支持web窗体上的用户字段，其参数也是作为key/value对传输。
但是：它不支持复杂数据类型，因为post没有定义传输数据结构的语义和规则。
3）soap：是http post的一个专用版本，遵循一种特殊的xml消息格式
Content-type设置为: text/xml   任何数据都可以xml化
三 HTTP响应
1．HTTP响应格式：

<status line>
<headers>
<blank line>
[<response-body>]
在响应中唯一真正的区别在于第一行中用状态信息代替了请求信息。状态行（status line）通过提供一个状态码来说明所请求的资源情况。
HTTP响应实例：
HTTP/1.1 200 OK
Date: Sat, 31 Dec 2005 23:59:59 GMT
Content-Type: text/html;charset=ISO-8859-1
Content-Length: 122
＜html＞
＜head＞
＜title＞Wrox Homepage＜/title＞
＜/head＞
＜body＞
＜!-- body goes here --＞
＜/body＞
＜/html＞
2．最常用的状态码有：
◆200 (OK): 找到了该资源，并且一切正常。
◆304 (NOT MODIFIED): 该资源在上次请求之后没有任何修改。这通常用于浏览器的缓存机制。
◆401 (UNAUTHORIZED): 客户端无权访问该资源。这通常会使得浏览器要求用户输入用户名和密码，以登录到服务器。
◆403 (FORBIDDEN): 客户端未能获得授权。这通常是在401之后输入了不正确的用户名或密码。
◆404 (NOT FOUND): 在指定的位置不存在所申请的资源。
四 完整示例：
例子：

HTTP GET
发送
GET /DEMOWebServices2.8/Service.asmx/CancelOrder?UserID=string&PWD=string&OrderConfirmation=string HTTP/1.1
Host: api.efxnow.com
回复
HTTP/1.1 200 OK
Content-Type: text/xml; charset=utf-8
Content-Length: length
<?xml version="1.0" encoding="utf-8"?>
<objPlaceOrderResponse xmlns="https://api.efxnow.com/webservices2.3">
<Success>boolean</Success>
<ErrorDescription>string</ErrorDescription>
<ErrorNumber>int</ErrorNumber>
<CustomerOrderReference>long</CustomerOrderReference>
<OrderConfirmation>string</OrderConfirmation>
<CustomerDealRef>string</CustomerDealRef>
</objPlaceOrderResponse>
 
HTTP POST
发送
POST /DEMOWebServices2.8/Service.asmx/CancelOrder HTTP/1.1
Host: api.efxnow.com
Content-Type: application/x-www-form-urlencoded
Content-Length: length
UserID=string&PWD=string&OrderConfirmation=string
回复
HTTP/1.1 200 OK
Content-Type: text/xml; charset=utf-8
Content-Length: length
<?xml version="1.0" encoding="utf-8"?>
<objPlaceOrderResponse xmlns="https://api.efxnow.com/webservices2.3">
<Success>boolean</Success>
<ErrorDescription>string</ErrorDescription>
<ErrorNumber>int</ErrorNumber>
<CustomerOrderReference>long</CustomerOrderReference>
<OrderConfirmation>string</OrderConfirmation>
<CustomerDealRef>string</CustomerDealRef>
</objPlaceOrderResponse>
 
SOAP 1.2
发送
POST /DEMOWebServices2.8/Service.asmx HTTP/1.1
Host: api.efxnow.com
Content-Type: application/soap+xml; charset=utf-8
Content-Length: length
<?xml version="1.0" encoding="utf-8"?>
<soap12:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap12="http://www.w3.org/2003/05/soap-envelope">
<soap12:Body>
<CancelOrder xmlns="https://api.efxnow.com/webservices2.3">
<UserID>string</UserID>
<PWD>string</PWD>
<OrderConfirmation>string</OrderConfirmation>
</CancelOrder>
</soap12:Body>
</soap12:Envelope>
回复
HTTP/1.1 200 OK
Content-Type: application/soap+xml; charset=utf-8
Content-Length: length
<?xml version="1.0" encoding="utf-8"?>
<soap12:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap12="http://www.w3.org/2003/05/soap-envelope">
<soap12:Body>
<CancelOrderResponse xmlns="https://api.efxnow.com/webservices2.3">
<CancelOrderResult>
<Success>boolean</Success>
<ErrorDescription>string</ErrorDescription>
<ErrorNumber>int</ErrorNumber>
<CustomerOrderReference>long</CustomerOrderReference>
<OrderConfirmation>string</OrderConfirmation>
<CustomerDealRef>string</CustomerDealRef>
</CancelOrderResult>
</CancelOrderResponse>
</soap12:Body>
</soap12:Envelope>

http://www.51testing.com/html/82/n-221182.html

人生如棋，每一步都是转折........

自己的人生自己把握.............

  因工作需要转到另外一个组了，又往上搬了3层，电脑也跟着搬了，感谢同事S、H、I以及J，默默记在心里了........

  开始新的工作了，和换工作没什么不同，现在所有的同事都是新的，即将接触的工作也是新的........

  或许对我来说，既是机遇又是挑战.......

　软件测试工程师到底是做什么的？很多书籍都会这样告诉你：黑盒测试工程师测试程序，白盒测试工程师测试代码。这样说的确没错，初学者可以这样理解，如果作为资深的软件测试工程师还是这样想的话，只能说是这几年的时间里你并没有任何进步。

　　简单点说资深软件测试工程师仅需要掌握测试技术和行业技术就足够了。但细品起来好像也不完全像上面说得那样简单，怎样做才能掌握高超的测试技术，怎样做又才能成为行业技术专家，怎样做才能将这两者结合在一起呢？

　　举个例子要求测试报表的工程师去检测一次性水杯，针对这个题目写出可行的测试用例。看了这个题目，很多测试工程师都会感觉头疼，这样的测试用例怎么写啊？先别急，让我们来考虑一个小问题“什么叫测试，测试应该从什么地方开始着手？”如果能将这个问题想明白，测试水杯的思路也就逐渐清晰了。比如，首先要考虑杯子是用来盛水的，那就要求它不会漏水。如果有人喜欢喝热开水，作为盛水的工具它应该满足沸点水温的要求，如果有人喜欢喝冰水，零度以下的要求也应该能够实现。然后再考虑一下杯子的软硬程度，如果太软拿不住，持杯子的人还会喝到水吗？如果杯子太硬是不是造价又会太高呢？接着再考虑在多长时间内杯子不会被水泡开，如果一个装了水的杯子，在两分钟后就被泡开了，那肯定是不合格的产品了，消费者是不会为如此短命的水杯买单的。沿着这个思路走下去，你会发现需要检测的内容太多了，杯子是不是会散发异味，是否满足食用器皿的卫生标准，杯壁上是否有异物，装满一杯水后杯子是否会损坏，杯子表面的图案会不会掉色，花样是否美观，装一些固体物体时杯子的可用性等等，基本功能测试、稳定性测试、压力测试、关联性测试就这样逐一而出。很神奇是吗？继续这个题目完成它，测试用例也就出来了。

　　上面的小例子是灵活运用测试理念的一个典型，从这个例子中不难看出测试的广博，一个好的测试工程师能够像万金油那样，运用到方方面面的测试中，对事物的认知都可以从测试的角度来分析。尝试从身边的一些小事物开始，培养测试的兴趣和眼光，慢慢的就能从中体会到测试的意义了。比如对钢笔、桌椅板凳等做做测试，你会不会发现自己正逐渐的像质检员那样专业？在测试取得成功的同时，想想测试的过程，对测试对象高度认知不就是测试成功的基础吗？也就是说在测试之前你已经掌握了测试对象的特征，并且这些信息以不可察觉的速度在头脑中建立了测试的方向，所以才会得心应手。这个对特性认知并建立起测试方向的过程就是测试理念日趋成熟的过程。

　　再举个例子，让手机软件的测试工程师来测试网络软件，结果通常是以失败而告终。有些人就不明白了，为什么测试桌椅都能成功，同样也是测试软件却失败了呢？那是因为在进行这个题目的时候我们忽略了非常重要的一点“行业技术”，桌椅等日常用品因为太过熟悉所以很容易掌握其特性，但是网络软件却因为其高度的领域性不被普遍认知。测试手机软件的工程师也许对各类型的手机操作系统非常熟悉，但是对网络知识的了解却很少。所以这种盲目的使用软件的过程，并不能构成系统的测试过程，最终导致题目执行的失败。

　　解决这种问题最好的方法就是培养广泛的兴趣，学习一些行业知识，从当前项目所需要的行业技术开始，适当的增加对其他领域的了解，比如游戏软件、杀毒软件、文字编辑软件等等。艺多不压身，如果哪天你所在的项目组改变了业务方向，你还会紧张吗？

　　不要将眼光局限在一小块地方，从另一种角度用动态的眼光去看待软件测试，当你发现测试无处不在的时候，才能说是真正深入到了这个领域。

3、添加、修改功能

（1）是否支持tab键

（2）是否支持enter键

（3）不符合要求的地方是否有错误提示

（4）保存后，是否也插入到数据库中？

（5）字段唯一的，是否可以重复添加

（6）对编辑页列表中的每个编辑项进行修改，点击保存，是否保存成功？

（7）对于必填项，修改为空、空格或其他特殊符号，是否可以编辑成功

（8）在输入框中，直接回车

（9）是否能够连续添加

（10）在编辑的时候，要注意编辑项的长度限制，有时，添加时有长度限制，但编辑时却没有（添加和修改规则是否一致）

（11）添加时，字段是唯一的，不允许重复，但有时，编辑时，却可以修改为相同字段（相同字段包括是否区分大小写以及在输入内容的前后输入空格）

（12）添加含有特殊符号或空格的内容

（13）对于有图片上传功能的编辑框，对于没有上传的图片，查看编辑页面时，是否显示默认图片，如果上传了图片，是否显示为上传图片？

 

4、删除功能

（1）输入正确数据前加空格，看是否能正确删除？

（2）是否支持enter键

（3）是否能连续删除多个产品？当只有一条数据时，能否成功删除？

（4）删除一条数据后，能否再添加相同的数据？

（5）当提供能一次删除多条信息的功能时，注意，删除的数据是否正确？

（6）不选择任何信息，直接点击删除按钮，看有什么错误提示？

（7）删除某条信息时，应该有错误提示信息

 

5、注册、登录模块

（1）注册成功，但登录失败：注册时，密码设置为一些特殊符号，但登录时，失败

（2）注册时，连续点击提交按钮

（3）注册成功后，页面应该以登录状态跳转到首页

（3）登录时，没区分大小写，注册时，是小写字母，但登录时，用大写字母也能登录进去

（4）登录时，当页面刷新或重新输入新数据时，验证码是否也随之更新

（5）对密码的修改，当把密码修改为很长，或含有特殊符号时，能够修改成功，但却不能成功登录。

 

6、上传图片测试

 （1）文件类型正确，文件大小合适

（2）文件类型正确，文件大小不合适

（3）文件类型错误，文件大小合适

（4）文件类型和大小都合适，上传一个正在使用中的图片

（5）文件类型和大小合适，手动输入一个存在的图片地址来上传

（6）文件类型和大小合适，手动输入一个不存在的图片地址上传

（7）文件类型和大小都合适，手动输入图片名称来上传

 

7、返回键检查

（1）一条已经成功提交的记录，返回后再提交，看系统是否做了处理

（2）检查多次使用返回键的情况，在有返回键的地方，返回到原来页面重复多次，看是否会出错

8、回车键检查

在输入结束后，直接按回车键，看系统处理如何，是否会报错

9、刷新键检查

在web系统中，使用浏览器的刷新键，看系统处理如何，是否会报错

10、直接URL链接检查

在web系统中，直接输入各功能页面的URL地址，看系统如何处理

11、其他

（1）在测试时，有与网络有关的步骤必须考虑到断网的情况

（2）每个页面都有相应的页面title

（3）在测试的时候要尽量考虑在页面出现滚动条时（滚动条上下滚动下），页面显示是否正常

（4）URL不区分大小写

 

12、测试中，并发情况的考虑

总结了以下两种情况：

（1）某个字段是唯一的，当多个用户并发点击产生该字段时，检查系统是怎么处理的

（2）对于电子商务网站，当两个或多个用户并发购买量总和大于产品库存量时，能否购买成功

二、界面和易用性测试

1、界面测试，主要测试网站的界面是否和设计一致，是否有错别字，页面布局是否合理，格式是否正确，是否有相应的错误提示信息等。

2、易用性测试，主要是考察所开发出的功能是否人性化，是否易用，是否符合大多数用户的使用习惯等。

3、对Tab和Enter键的测试。

三、兼容性测试

兼容性测试不只是指界面在不同操作系统或浏览器下的兼容，有些功能方面的测试，也要考虑到兼容性，比如涉及到ajax 、jquery、javascript等技术的，都要考虑到不同浏览器下的兼容性问题。

四、链接测试

主要是保证链接的可用性和正确性，它也是网站测试中比较重要的一个方面。

五、业务流程测试

业务流程，一般会涉及到多个模块的数据，所以在对业务流程测试时，首先要保证单个模块功能的正确性，其次就要对各个模块间传递的数据进行测试，这往往是容易出现问题的地方，测试时一定要设计不同的数据进行测试。

六、安全性测试

（1）SQL注入

（2）XSS 跨网站脚本攻击：程序或数据库没有对一些特殊字符进行过滤或处理，导致用户

所输入的一些破坏性的脚本语句能够直接写进数据库中，浏览器会直接执行这些脚本语句，破坏网站的正常显示，或网站用户的信息被盗,构造脚本语句时，要保证脚本的完整性。

document.write("abc")

<script>alter("abc")</script>

（3）URL地址后面随便输入一些符号

(4) 验证码更新问题

 

以上就是对Web测试的一个总结，相信一定还存在某些的遗漏，欢迎大家指正、补充。

 

 

　　测试是一种思维，包括情感思维和智力思维，情感思维主要体现在一句俗语：思想决定行动上（要怀疑一切），智力思维主要体现在测试用例的设计上。具有了这样的思想，就会找出更多的bug。（^_^个人认为，不代表官方立场）

　　对于一个web网站来说，主要从这么几个大的方面来进行测试：

1、 功能测试；2、 界面测试；3、 易用性测试；4、兼容性测试；5、 链接测试；6、 业务流程测试；7、 安全性测试

下面主要从以上七个方面进行叙述：

 

一、功能测试

测试用例是测试的核心，测试用例的设计是一种思维方式的体现，在用例的设计中，用的比较多的方法是边界值分析法和等价类划分法，下面主要从输入框，搜索功能，添加、修改功能，删除功能，注册、登录功能以及上传图片功能等11个方面进行总结说明。

1、输入框

输入框是测试中最容易出现bug的地方，所以在测试时，一定要多加注意。

 

 

 

2、搜索功能

（1）比较长的名称是否能查到？

（2）空格 或空

（3）名称中含有特殊字符，如：' $ % & *以及空格等

（4）关键词前面或后面有空格

（5）如果支持模糊查询，搜索名称中任意一个字符是否能搜索到

（6）输入系统中不存在与之匹配的条件

（7）两个查询条件是否为2选1，来回选择是否出现页面错误

（8）输入脚本语言,如：<script>alter(“abc”)</script>等

 

3、添加、修改功能

（1）是否支持tab键

查看(1942) 评论(15) 收藏 分享 管理

  Yesterday, I went to visit my cousin and looked around her new floor by the way. Her new house cost about more than one million. Looking at the new house, I thought of myself.
  I don't know what's like of my future. And I don't know whether I can own a floor in BJ. In a word, I am very confused at present. Every day, my life is rule, three point in a line. Sometimes I am very enjoyed this kind of life. But sometimes I feel that life is so boring........
  Life is going on. And as a man, we should have to be in faith. This word comes from the famouse film--Echoes of The Rainbow.
  I like this word very much. It is right that we should believe in ourselves. In another word, we should give ourselves some expection in our life.
  As a normal man, We impossibly predict the future. The only thing we should do is do the present thing better.

  This month,my family has two things to be glad. One thing is that my brother has bought a car; and another thing is that my sister-in-law changed a job and his salary exceeds 1w.
  I am very glad for them. I hope their life is better and better.
  And for myself, I have entered into GC for my work. In fact, my goal is not it, I am looking forward to getting the year award. What i should do is to improve my work efficiency.

前段时间接手了对网站进行安全测试的任务。

刚接到的时候心里非常紧张，因为什么都不懂的，以前也没有接触过这个方面的。虽然小组有人共享过一点东西，那毕竟是理论，大家对于实际操作都是是懂非懂的。

后来找了很多有关这方面的东西，于是概括一下，主要就是测试下面那些内容了(一些文绉绉的理论就不讲啦，我只是总结测试动作)：

一、没有进行xss过滤的情况:

a、url中的所有参数值用  '"></script><script>alert("hello,my girl!")</script> 代替测试:

现象：跳出“hello，my girl!”提示框；

b、text框输入 '"></script><script>alert("hello,my girl!")</script>，点击提交：

现象：没有正常写入数据库；或查看阅览页面或者从数据库显示时，没有被转义；

c、副文本编辑器输入<img nerror = "alert(123)" src=http://xxx.com>;

现象：没有正常写入数据库；查看阅览页面或从数据库显示时，出现js错误或者排版出现问题；

d、在数据库字段中写入'"></script><script>alert("hello,my girl!")</script>，查看页面显示：

现象：跳出alert；或者页面出现js问题等；查看源代码时，没有进行转义；

注意点：

1、很多时候，html代码的<title >和<meta  >中的参数会显示数据库的产品名呀，或者其他有可能显示乱码的参数，所以这种地方也需要注意，以'"/></script><script>alert("hello,my girl!")</script>为例，就会跳出alert值，或者显示</script><script>alert("hello,my girl!")</script>不应该显示的值，因为被",或者/>拦截了。

2、有些html链接，如果url是×××.产品名.html的时候，如果产品名或者其他参数有可能会是乱码的时候，它会把前面的一些单引号或者双引号先优先使用了，以'"/></script><script>alert("hello,my girl!")</script>为例，url = "×××.'"/></script><script>alert("hello,my girl!")</script>"，这样的情况的话，页面就会显示/></script><script>alert("hello,my girl!")</script>"这样的不应该显示的值。

3、如果你的网站有搜索框，那就用包含这样的值的产品名进行搜索，有可能搜索不出来，有可能是页面跳出alert值，或者页面出现了不该出现的代码行等。

4、主要点就是输入框，显示，链接，url输入，搜索等。

二、关于crsf：

1、搜索在所有我数据提交的地方，是否都加了token值；

2、修改数据提交出的crsf，再提交，是否能正常提交，是否提示数据超时；

3、每个不同的用户登录后，token值是否都是新值。

注意点：

a、虽然加token貌似看起来不难，看到有什么提交按钮就加上token就好了，所以很多时候开发会忘记软更新的时候加上token。比如说，删除这个动作是每条数据产生的时候，跟在数据后面的url链接。我在测试这个的时候，对应的开发就忘记了所有软更新的token添加。所以这个地方需要特别注意；

b、还有一点是，每个用户登录后的token是不一致的。比如说a用户这一次登录后token值是1111，b用户这一次登录后2222.但登录后，不管什么操作，token值就是一致了。意思是比如a用户产生的token值是1111，那这个值将伴随他直到他下一次重新登录。

这次我测试的部分只有这两个部分，关于sql注入等，还没有涉及，下次有机会整理。

在输入框中输入 >'><script>alert(“XSS”)</script>后，竟然能执行，记录下来.......

　性能测试过程中最重要也是最有挑战的就是性能测试结果分析，测试结果的分析是需要很多经验的积累的，不断的实践不断总结，下面是我做过的几个项目整理下来的一些常用东东

　　1、性能测试执行过程中经常遇到的问题

　　在测试执行的过程中，有时一个性能测试点，相同的测试场景是需要经过多次的执行的，有时会遇到 后面几次运行的结果与前面运行的测试结果大相径庭，遇到这种情况时 ，我们可以先从以下几点来查

　　首先查看linux的内存利用情况。

　　命令：free -m     通常可用内存占10%是可接受范围的

　　如果可用内存很小的话

　　1）一种是程序有问题

　　2）另一种可能是磁盘空间不足， 当磁盘空间不足就会去写内存，就会导致可用内存减少

　　第一种情况一时半会很难确定，所以我们可以先从第二种情况着手，看看是否是磁盘空间不足了

　　命令 tf -m

　　结果有两种：

　　1）如果可用为0, 那就是磁盘空间满了, 可以先进入当前目录查看这个目录下的磁盘空间占了多少 ， 有可能是log日志写满了，

　　2）如果磁盘空间没占满的话 在查看下哪些进程占用了这么多

　　命令:top

　　我所遇到的项目中，很多都是由于项目log日志级别设置错误，几次运行下来，导致磁盘空间占满，接着导致内存减少，性能测试结果下降趋势

　　2、性能测试常用命令

　　free -m，ps -aux，df -h，pwd，du -sh，tail -n 文件名，cd，ll，:q 是退出命令，cd ~

　　ctrl+c是终止

　　ctrl+d向下翻页

　　ctrl+f 向上翻页

　　/perf 查询命令

　　tail－f （实时查询）

　　grep ‘关键词’ -c  查询这个“关键词”出现的次数

　　grep ‘关键词’  查看这个关键词出现的地方都显示出来

　　grep这个命令用的情况比较多，比如查询某处超时出现的次数，以便判断超时是否严重

　3、性能测试执行中要注意fgc情况

　　如何查看fgc情况，首先要知道java进程id 命令    ps -ef | grep java

　　admin    18949 18938 99 13:43 pts/2    00:00:31 /opt/taobao/java1/bin/java -Dprogram。name=run。sh -server -Xms1536m -Xmx1536m -XX:NewSize=320m -XX:MaxNewSize=320m -XX:PermSize=96m -XX:MaxPermSize=256m -Xmn500m -XX:MaxTenuringThreshold=5 -Djava。awt。headless=true

　　运行结果中的  18949是java进程id号

　　然后运行 [admin@capatest059a ~]$  /opt/taobao/java1/bin/jstat -gcutil 18949 1000（1000是显示多少行）

　　S0     S1     E      O      P     YGC     YGCT    FGC    FGCT     GCT

　　0.00   0.00  79.97   4.13  40.51   2657   12.652     4    1.349   14.000

　　针对这几个区的理解：

　　s0 和 s1 是交换区  当新生区达到一定百分比，这时交换区负责把e区里的对象搬到old 区（o）里，s0和s1不会同时占用的。

　　OLD 区 是老区  会检查这个区是不是设置的太小了，当E区放满了就会启用YGC,YGCT 是处理YGC的时间,当YGC达到一定值， 就会启用FGC ,而FGC很消耗内存，p区是存放java的类文件，一些静态文件的，这个区基本不变。

　　运行之前记录下fgc情况，运行之后看下fgc情况，看下这段时间内处理一次fgc所用的时间，判断的参考值 是几百ms是比较多的，一般情况下是几十ms。

　　针对fgc这块 了解的还是很少，在以后的项目实践中在不断学习深入。

 Like the project, like the team.

 What i should do is to try my best to do it well and improve myself.

 Fighting!

注：本教程的方法目前只是针对中国移动的SIM卡，中国联通和中国电信的以后再说。现在中国移动已经不区分cmwap和cmnet接入点，以前是分开收费的，呵呵，当然cmnet接入点速度快啦，所以修改接入点，尽情冲浪吧 O(∩_∩)O~

一、针对NOKIA手机的设置方法（其他品牌手机大同小异，大家灵活运用）：

1，进入功能表—设置—配置设置—这里要分类讨论了：

①找到首选接入点，里面应该有一个或多个默认的接入点，按左选择键（就是接听键上面的按键，屏幕左下角的那个键），选择“操作”，点“详情”，即可查看是什么接入点，应该是cmwap或cmnet接入点（字母大小写是一样的）。如果有cmnet或CMNET接入点，就选择它就行了。如果没有，看方法②

②既然没有cmnet接入点，我们就自己添加一个吧，在“配置设置”中，找到“个人配置”，，选“操作”—“新增”—“接入点”，然后出现了接入点的设置，接入点名称，就输cmnet吧，接入点设置中的传输方式改为cmnet或CMNET，别的不用改，一直返回到配置设置中，到首选接入点，选择你刚刚设置的cmnet接入点就行啦。

PS：终于写好了，不知道大家能理解我的意思不，感觉表达起来比较困难，最好要设置的直接把手机给我，几秒帮你搞定，呵呵，不清楚地话，大家留言啊。

注：

①有些手机软件不支持cmnet接入点，所以你要用的话要改回cmwap，方法一样。目前已知支持cmnet的接入点的手机软件有：QQ，UC浏览器，人人2009。当然有些手机软件的设置中可以选择接入点的，比如人人2009，自己灵活运用吧。

②还要注意，对于可以设置接入点的软件，选择接入点时要和你手机中选择的接入点一样，比如你用人人2009时，选择cmwap，但在手机本身的接入点选择的是cmnet，那肯定上不了网啊，就不要怨天尤人咯，呵呵。

③有些手机网站也不支持cmnet接入点，访问这些网站要改回cmwap

 

WLAN 无线上网设置方法
无线上网设置方法
手机设置(按WEP加密方式设置)
1)进入设置-->连接设置-->打开接入点-->选择-->新增接入点-->使用默认设置-->
(2)连接名称(这里可以随便起名如:HOME)-->数据承载方式-->选择"无线局域网"-->WLAN接入点名称(选择自动搜索)-->网络状态(公开)- ->WLAN网络模式(基础网络)-->WLAN安全模式(如果之前路由器已经设置了密码,这里就选择"WEP",,如果没有设置密码的这里就是"开放式网络 -->WLAN安全设置(使用的WEP密钥"#1"-->鉴定类型"打开"-->WEP加密"64位"-->WEP密钥格式"十六进制"-->WEP密钥 再输入主页,,就完成......然后打开网络...应该就可以上网了

1. 页面链接检查：每一个链接是否都有对应的页面，并且页面之间切换正确。可以使用一些工具，如LinkBotPro、File-AIDCS、HTML Link Validater、Xenu等工具。LinkBotPro不支持中文，中文字符显示为乱码；HTML Link Validater只能测试以Html或者htm结尾的网页链接；Xenu无需安装，支持asp、do、jsp等结尾的网页，xenu测试链接包括内部链接和外部链接，在使用的时候应该注意，同时能够生成html格式的测试报告。如果系统用QTP进行自动化测试，也可以使用QTP的页面检查点检查链接。

　　2. 相关性检查：

　　* 功能相关性：删除/增加一项会不会对其他项产生影响，如果产生影响，这些影响是否都正确，常见的情况是，增加某个数据记录以后，如果该数据记录某个字段内容较长，可能会在查询的时候让数据列表变形。

　　* 数据相关性：下来列表默认值检查，下来列表值检查，如果某个列表的数据项依赖于其他模块中的数据，同样需要检查，比如，某个数据如果被禁用了，可能在引用该数据项的列表中不可见。

　　3. 检查按钮的功能是否正确：如新建、编辑、删除、关闭、返回、保存、导入，上一页，下一页，页面跳转，重置等功能是否正确。常见的错误会出现在重置按钮上，表现为功能失效。

　　4. 字符串长度检查: 输入超出需求所说明的字符串长度的内容, 看系统是否检查字符串长度。还要检查需求规定的字符串长度是否是正确的，有时候会出现，需求规定的字符串长度太短而无法输入业务数据。

　　5. 字符类型检查: 在应该输入指定类型的内容的地方输入其他类型的内容(如在应该输入整型的地方输入其他字符类型),看系统是否检查字符类型。

　　6. 标点符号检查: 输入内容包括各种标点符号,特别是空格,各种引号,回车键。看系统处理是否正确。常见的错误是系统对空格的处理，可能添加的时候，将空格当作一个字符，而在查询的时候空格被屏蔽，导致无法查询到添加的内容。

　　7．特殊字符检查：输入特殊符号，如@、#、$、%、!等，看系统处理是否正确。常见的错误是出现在% ‘ \ 这几个特殊字符

　　8. 中文字符处理: 在可以输入中、英文的系统输入中文,看会否出现乱码或出错。

　　9. 检查信息的完整性: 在查看信息和更新信息时,查看所填写的信息是不是全部更新,更新信息和添加信息是否一致。要注意检查的时候每个字段都应该检查，有时候，会出现部分字段更新了而个别字段没有更新的情况。

　　10. 信息重复: 在一些需要命名,且名字应该唯一的信息输入重复的名字或ID,看系统有没有处理,会否报错,重名包括是否区分大小写,以及在输入内容的前后输入空格,系统是否作出正确处理。

　　11. 检查删除功能:在一些可以一次删除多个信息的地方,不选择任何信息,按“delete”,看系统如何处理,会否出错;然后选择一个和多个信息,进行删除,看是否正确处理。如果有多页，翻页选，看系统是否都正确删除，并且要注意，删除的时候是否有提示，让用户能够更正错误，不误删除。

　　12. 检查添加和修改是否一致: 检查添加和修改信息的要求是否一致,例如添加要求必填的项,修改也应该必填;添加规定为整型的项,修改也必须为整型.

　　13. 检查修改重名:修改时把不能重名的项改为已存在的内容,看会否处理,报错.同时,也要注意,会不会报和自己重名的错.

　　14. 重复提交表单：一条已经成功提交的纪录，返回后再提交，看看系统是否做了处理。对于Web系统来说，可以通过浏览器返回键或者系统提供的返回功能。

　　15. 检查多次使用返回键的情况: 在有返回键的地方,返回到原来页面,重复多次，看会否出错。

　　16. 搜索检查: 有搜索功能的地方输入系统存在和不存在的内容,看搜索结果是否正确.如果可以输入多个搜索条件,可以同时添加合理和不合理的条件,看系统处理是否正确，搜索的时候同样要注意特殊字符，某些系统会在输入特殊字符的时候，将系统中所有的信息都搜索到。

　　17. 输入信息位置: 注意在光标停留的地方输入信息时,光标和所输入的信息会否跳到别的地方。

　　18. 上传下载文件检查：上传下载文件的功能是否实现，上传文件是否能打开。对上传文件的格式有何规定，系统是否有解释信息，并检查系统是否能够做到。下载文件能否打开或者保存，下载的文件是否有格式要求，如需要特殊工具才可以打开等。上传文件测试同时应该测试，如果将不能上传的文件后缀名修改为可以上传文件的后缀名，看是否能够上传成功，并且，上传文件后，重新修改，看上传的文件是否存在。

　　19. 必填项检查：应该填写的项没有填写时系统是否都做了处理，对必填项是否有提示信息，如在必填项前加“*”；对必填项提示返回后，焦点是否会自动定位到必填项。

　　20. 快捷键检查：是否支持常用快捷键，如Ctrl+C、 Ctrl+V、 Backspace等，对一些不允许输入信息的字段，如选人，选日期对快捷方式是否也做了限制。

　　21. 回车键检查: 在输入结束后直接按回车键,看系统处理如何,会否报错。这个地方很有可能会出现错误。

　　22．刷新键检查：在Web系统中，使用浏览器的刷新键，看系统处理如何，会否报错。

　　23．回退键检查：在Web系统中，使用浏览器的回退键，看系统处理如何，会否报错。对于需要用户验证的系统，在退出登录后，使用回退键，看系统处理如何；多次使用回退键，多次使用前进键，看系统如何处理。

　　24．直接URL链接检查：在Web系统中，直接输入各功能页面的URL地址，看系统如何处理，对于需要用户验证的系统更为重要。如果系统安全性设计的不好，直接输入各功能页面的URL地址，很有可能会正常打开页面。

　　25．空格检查：在输入信息项中，输入一个或连串空格，查看系统如何处理。如对于要求输入整型、符点型变量的项中，输入空格，既不是空值，又不是标准输入。

　　26．输入法半角全角检查：在输入信息项中，输入半角或全角的信息，查看系统如何处理。如对于要求输入符点型数据的项中，输入全角的小数点（“。”或“．”，如４．５）；输入全角的空格等。

　　27．密码检查：一些系统的加密方法采用对字符Ascii码移位的方式，处理密码加密相对较为简单，且安全性较高，对于局域网系统来说，此种方式完全可以起到加密的作用，但同时，会造成一些问题，即大于128的Ascii对应的字符在解密时无法解析，尝试使用“uvwxyz”等一些码值较大的字符作为密码，同时，密码尽可能的长，如17位密码等，造成加密后的密码出现无法解析的字符。

　　28．用户检查：任何一个系统，都有各类不同的用户，同样具有一个或多个管理员用户，检查各个管理员之间是否可以相互管理，编辑、删除管理员用户。同时，对于一般用户，尝试删除，并重建同名的用户，检查该用户其它信息是否重现。同样，提供注销功能的系统，此用户再次注册时，是否作为一个新的用户。而且还要检查该用户的有效日期，过了有效日期的用户是不能登录系统的。容易出现错误的情况是，可能有用户管理权限的非超级管理员，能够修改超级管理员的权限。

　　29．系统数据检查：这是功能测试最重要的，如果系统数据计算不正确，那么功能测试肯定是通不过的。数据检查根据不同的系统，方法不同。对于业务管理平台，数据随业务过程、状态的变化保持正确，不能因为某个过程出现垃圾数据，也不能因为某个过程而丢失数据。

　　30．系统可恢复性检查：以各种方式把系统搞瘫，测试系统是否可正常迅速恢复。

　　31．确认提示检查：系统中的更新、删除操作，是否提示用户确认更新或删除，操作是否可以回退（即是否可以选择取消操作），提示信息是否准确。事前或事后提示，对于Update或Delete操作，要求进行事前提示。

　　32．数据注入检查：数据注入主要是对数据库的注入，通过输入一些特殊的字符，如“’”，“/”，“-”等或字符组合，完成对SQL语句的破坏，造成系统查询、插入、删除操作的SQL因为这些字符而改变原来的意图。如select * from table where id = ‘　’ and  name = ‘  ’，通过在id输入框中输入“12’-”，会造成查询语句把name条件注释掉，而只查询id=12的记录。同样，对于update和delete的操作，可能会造成误删除数据。当然还有其它一些SQL注入方法，具体可以参考《SQL应用高级SQL注入.doc》，很多程序都是基于页面对输入字符进行控制的，可以尝试跳过界面直接向数据库中插入数据，比如用Jmeter，来完成数据注入检查。

　　33．刷新检查：web系统中的WebForm控件实时刷新功能，在系统应用中有利有弊，给系统的性能带来较大的影响。测试过程中检测刷新功能对系统或应用造成的影响（白屏），检查控件是否回归默认初始值，检查是否对系统的性能产生较大影响（如每次刷新都连接数据库查询等）。

　　34．事务检查：对于事务性操作，断开网络或关闭程序来中断操作，事务是否回滚。

　　35．时间日期检查：时间、日期验证是每个系统都必须的，如2006-2-29、2006-6-31等错误日期，同时，对于管理、财务类系统，每年的1月与前一年的12月（同理，每年的第1季度与前一年的第4季度）。另外，对于日期、时间格式的验证，如2006年2月28日、2006-2-28、20060228等。日期检查还要检查日期范围是否符合实际的业务，对于不符合时间业务的日期，系统是否会有提示或者有限制

　　36．多浏览器验证：越来越多的各类浏览器的出现，用户访问Web程序不再单单依赖于Microsoft Internet Explorer，而是有了更多的选择：Maxthon、Firefox、Tencent Traveler等，考虑使用多种浏览器访问系统，验证效果。

　　37．安装测试：对于C/S架构的系统，安装程序的测试是一个重要方面，安装程序自动化程度、安装选项和设置（验证各种方案是否都能正常安装）、安装过程中断测试、安装顺序测试（分布式系统）、修复安装及卸载测试。

　　38．文档测试：主要是对用户使用手册、产品手册进行测试，校验是否描述正确、完整，是否与当前系统版本对照，是否易理解，是否二义性等。

　　39．测试数据检查：事实告诉我们，测试数据比代码更有可能是错的，因此，当测试结果显示有错误发生的时候，怀疑代码错误前要先对测试数据检查一遍。

　　40．请让我的机器来运行：在某些项目中，出现一个病态的问题：系统没有问题呀，它在我的机器上是能够通过的。这就说明了其中存在着和环境相关的BUG。“是否所有的一切都受到了版本控制工具的管理？”、“本机的开发环境和服务器的环境是否一样？”、“这里是否存在一个真正的BUG，只不过是在其他的机器里偶然出现？”。所有的测试必须在所有系统要求的机器上运行通过，否则的话，代码就可能存在问题。

　　41．Ajax技术的应用：Ajax有很多优点，但也有很多缺点，如果利用优点、避免缺点，是我们对新的Web2.0应用的一个挑战。而Ajax的应用最直接的问题就是用户体验，用户体验的效果直接关系到是否使用Ajax技术。“会做，并不意味着应该做、必须做”，这就是对Ajax技术的很重要的注解。

　　42．Ajax技术的应用：Ajax采用异步调用的机制实现页面的部分刷新功能，异步调用存在异常中断的可能，尝试各种方法异常中断异步的数据调用，查看是否出现问题。在这里遇到的一个问题就是对日期控件的操作，已经如果页面数据较多的时候的刷新。

　　43．脚本错误：随着Ajax、IFrame等异步调用技术的发展，Javascrīpt技术也越来越受到开发人员的重视，但Javascrīpt存在调试困难、各浏览器存在可能不兼容等问题，因此在Web系统中，可能会出现脚本错误。同时，脚本错误造成的后果可大、可小，不能忽视。