• 分析Model2系统心得


    分析Model2系统心得

    前言:观摩他人的项目,学到一些新的。实践经验呀!!!

    1、  怎样使用字符串处理类?从页面获取的Form类或者字段取值时使用。

     

    2、在验证用户身份时,先推断username,再推断password,能够防止用户输入恒等式后直接登录系统。

    比如:select * from tb_user where name=’管理员名称’ and pwd=’password’

    从逻辑上讲,这种SQL语句并没有错误,以管理员名称和password为条件,从数据库中查找对应的记录,假设能查询到,则觉得是合法管理员。可是,这样做存在一个安全隐患,当用户在管理员名称和password文本框输入一个OR运算符及恒等式后,即使不输入正确的管理员名称和password页能够登录到系统。

    比如,假设用户在挂历元名称和password文本框中分别输入aa ’ OR ’ a ‘ = ‘ a后,上面的语句将转换为例如以下SQL语句:

    select * from tb_user where name=’ aa ’ OR ’a ‘ = ‘ a’ and pwd=’ aa ’ OR ’ a ‘ = ‘ a’

    因为表达式‘a’=‘a’的值为真,系统将查出所有管理员信息,所以即使用户输入错误的管理员名称和password也能够轻松登陆系统。因此,这里採用了先过滤掉输入字符串中的危急字符,再分别推断输入的管理员名称和password是否正确的方法。

     

    3、  import属性是唯一一个能够在同一个页面中反复定义的page指令的属性。

     

    4、  防止非法用户登录系统,採用在用户登录时,网session中加入一个字段来推断。

    如何在全部内部页面加入?

    (1)      将session字段推断写在头部页面。

    (2)      用监听器类。

     

     

    如有好的建议,可留言或发至笔者邮箱:fzb_xxzy@163.com

  • 相关阅读:
    按日期重命名宾得相机的照片
    Intellij笔记
    quartznet笔记
    优秀的UI插件
    我的ORM之示例项目
    Redis笔记
    Idol之坑
    ORACLE查询表最近更改的数据 VERSIONS BETWEEN TIMESTAMP MINVALUE AND MAXVALUE
    如何drop大表的中不用的字段 set unused column
    Oracle DUL/AUL/ODU 工具说明
  • 原文地址:https://www.cnblogs.com/mengfanrong/p/3773199.html
Copyright © 2020-2023  润新知