对request.getSession(false)的理解(附程序员常疏忽的一个漏洞)

最新推荐文章于 2024-03-02 21:42:41 发布
最新推荐文章于 2024-03-02 21:42:41 发布
阅读量9.7w 收藏 110
点赞数 24
分类专栏: Java Java.Struts Java.JSP 文章标签: session null string spring user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxd851116/article/details/4296866
版权
Java 同时被 3 个专栏收录
34 篇文章 0 订阅
订阅专栏
Java.JSP
7 篇文章 0 订阅
订阅专栏
Java.Struts
6 篇文章 0 订阅
订阅专栏

本文属于本人原创,转载请注明出处:http://blog.csdn.net/xxd851116/archive/2009/06/25/4296866.aspx

【前面的话】

在网上经常看到有人对request.getSession(false)提出疑问,我第一次也很迷惑,看了一下J2EE1.3 API,看一下官网是怎么解释的。 

【官方解释】

  getSession 

public HttpSession getSession(boolean create)

Returns the current HttpSession associated with this request or, if if there is no current session and create is true, returns a new session.

If create is false and the request has no valid HttpSession, this method returns null.

To make sure the session is properly maintained, you must call this method before the response is committed. If the container is using cookies to maintain session integrity and is asked to create a new session when the response is committed, an IllegalStateException is thrown.

Parameters: true - to create a new session for this request if necessary; false to return null if there's no current session

Returns: the HttpSession associated with this request or null if create is false and the request has no valid session

译:

getSession(boolean create)意思是返回当前reqeust中的HttpSession ,如果当前reqeust中的HttpSession 为null,当create为true,就创建一个新的Session,否则返回null;

简而言之:

HttpServletRequest.getSession(ture) 等同于 HttpServletRequest.getSession()

HttpServletRequest.getSession(false) 等同于 如果当前Session没有就为null;

 

【问题和bug】:

我周围很多同事是这样写的;

需要注意的地方是request.getSession() 等同于 request.getSession(true),除非我们确认session一定存在或者sesson不存在时明确有创建session的需要,否则尽量使用request.getSession(false)。在使用request.getSession()函数,通常在action中检查是否有某个变量/标记存放在session中。这个场景中可能出现没有session存在的情况,正常的判断应该是这样:


【投机取巧】:

如果项目中用到了Spring(其实只要是Java的稍大的项目,Spring是一个很好的选择),对session的操作就方便多了。如果需要在Session中取值,可以用WebUtils工具(org.springframework.web.util.WebUtils)的getSessionAttribute(HttpServletRequest request, String name)方法,看看高手写的源码吧:哈哈。。

注:Assert是Spring工具包中的一个工具,用来判断一些验证操作,本例中用来判断reqeust是否为空,若为空就抛异常。

上面的代码又可以简洁一下啦,看吧:

  

笑的自然
关注
  • 24
    点赞
  • 110
    收藏
    觉得还不错? 一键收藏
  • 30
    评论
专栏目录
关于request.getSession(false)和request.getSession(true)测试与Andriod模拟浏览器处理session机制的实现
Sirm23333
02-02 9832
一、关于request.getSession(false)和request.getSession(true)测试 在一次http请求中,服务器端通过方法request.getSession()可以获取服务器中保存的与此客户端唯一对应的session对象,但对于此方法的两种不同调用方式,网上大多为一下介绍: request.getSession(false); 获得session,如果不存在则返回n...
request.getParameter()取值为null的解决方法
10-25
在后台通过Request取值为null,是因为只设置了id属性,而取值候用的是name属性,问题就出现在这里
jsp 对request.getSession(false)的理解程序员疏忽一个漏洞
10-29
在网上经看到有人对request.getSession(false)提出疑问,我第一次也很迷惑,看了一下J2EE1.3 API,看一下官网是怎么解释的。
HttpServletRequest的getSession()方法逻辑分析
最新发布
2301_81922209的博客
03-02 486
HttpServletRequest的getSession方法逻辑分析,为什么请求中添加Cookie信息就能获取到Session存储的信息。
request.getSession().doc
11-06
request.getSession().doc
request.setAttribute 语句前总显示红色感叹号解决办法 HTTP Status 500 -
10-08
HTTP Status 500 - type Exception report message description The server encountered an internal error () that prevented it from fulfilling this request. exception javax.servlet.ServletException: Servlet execution threw an exception root cause java.lang.Error: Unresolved compilation problem: The method setAttribute(String, Object) in the type ServletRequest is not applicable for the arguments (String, double) y2ssh.sg.chp1.action.AddAction.execute(AddAction.java:18) y2ssh.sg.chp1.framework.Controller.doGet(Controller.java:25) y2ssh.sg.chp1.framework.Controller.doPost(Controller.java:33) javax.servlet.http.HttpServlet.service(HttpServlet.java:637) javax.servlet.http.HttpServlet.service(HttpServlet.java:717)解决办法:
数据库测试test.sql
06-26
package com.bjsxt.servlet; import com.bjsxt.entity.User; import com.bjsxt.service.UserService; import com.bjsxt.service.impl.UserServiceImpl; import javax.servlet.RequestDispatcher; import javax.servlet.ServletContext; import javax.servlet.ServletException; import javax.servlet.http.*; import java.io.IOException; import java.net.URLEncoder; import java.sql.Date; import java.util.ArrayList; import java.util.Arrays; import java.util.List; public class UserServlet extends BaseServlet { // @Override // protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { // //解决POST表单的中文乱码问题 // request.setCharacterEncoding("utf-8"); // //接收method属性的值 // String methodName = request.getParameter("method"); // // //根据method属性的值调用相应的方法 // if("login".equals(methodName)){ // this.login(request,response); // }else if("register".equals(methodName)){ // this.register(request,response); // }else if("logout".equals(methodName)){ // this.logout(request,response); // } // // } public void show(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //获取表单的数据 String userId = request.getParameter("userId"); if(userId == null){ userId = ""; } String strAge = request.getParameter("minAge"); int minAge = 0; try{ minAge = Integer.parseInt(strAge); //"12" "abc" }catch(NumberFormatException e){ e.printStackTrace(); } //调用业务层完成查询操作 UserService userService = new UserServiceImpl(); //List<User> userList = userService.findAll(); List<User> userList = userService.find(userId,minAge); //List<User> userList = null; //List<User> userList = new ArrayList<User>(); //跳转到show.jsp显示数据 request.setAttribute("userId",userId); request.setAttribute("minAge",strAge); request.setAttribute("ulist",userList); request.getRequestDispatcher("/admin/show.jsp").forward(request,response); } public void logout(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //结束当前的session request.getSession().invalidate(); //跳转回登录页面 response.sendRedirect(request.getContextPath()+"/admin/login.jsp"); } public void register(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //request.setCharacterEncoding("utf-8"); //1.接收来自视图层的表单数据 String userId = request.getParameter("userId"); String realName = request.getParameter("realName"); String pwd = request.getParameter("pwd"); String rePwd = request.getParameter("repwd"); int age = Integer.parseInt(request.getParameter("age"));// "23" String [] hobbyArr = request.getParameterValues("hobby"); String strDate = request.getParameter("enterDate");//"1999-12-23" Date enterDate = Date.valueOf(strDate); //util.Date SimpleDateFormat //判断两次密码是否相同 if(pwd == null || !pwd.equals(rePwd)){ request.setAttribute("error","两次密码必须相同"); request.getRequestDispatcher("/admin/register.jsp").forward(request,response); return; } //2.调用业务层完成注册操作并返回结果 User user = new User(userId,realName,pwd,age, Arrays.toString(hobbyArr),enterDate); UserService userService = new UserServiceImpl(); int n = userService.register(user); //3.根据结果进行页面跳转 if(n>0){ response.sendRedirect(request.getContextPath()+"/admin/login.jsp"); }else{ request.setAttribute("error","注册失败"); request.getRequestDispatcher("/admin/register.jsp").forward(request,response); } } public void login(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //解决POST表单的中文乱码问题 //request.setCharacterEncoding("utf-8"); //获取用户名和密码 request 内建对象 请求 String username = request.getParameter("username"); String password = request.getParameter("password"); String rememberme = request.getParameter("rememberme"); //调用下一层判断登录是否成功,并返回结果 //进行服务器端的表单验证 if(username ==null || "".equals(username)){ request.setAttribute("error","用户名不能为空JSP"); request.getRequestDispatcher("/admin/login.jsp").forward(request,response); return; } if (username.length()<=6){ request.setAttribute("error","用户名长度必须大于6JSP"); request.getRequestDispatcher("/admin/login.jsp").forward(request,response);//后面语句还会执行 return; //后面的语句不再执行 } // boolean flag = false;//默认失败 // if(username.indexOf("sxt")>=0 || username.contains("尚学堂")){ // flag = true; // } User user = null;//默认登录失败 // UserDao userDao = new UserDaoImpl(); // user = userDao.find(username,password); UserService userService = new UserServiceImpl(); user = userService.login(username,password); //userService.addOrder("shoppingCart"); //输出结果 if(user != null){ //登录成功才记住我 //1.办理会员卡 String username2 = URLEncoder.encode(username,"utf-8"); Cookie cookie1 = new Cookie("uname",username2); Cookie cookie2 = new Cookie("password",password); //2.指定会员卡的作用范围,默认范围是当前目录 /servlet/LoginServlet /admin/login.jsp //cookie1.setPath("/"); //当前服务器 cookie1.setPath("/myservlet2/"); //当前项目 cookie2.setPath("/myservlet2"); //3.指定会员卡的作用时间 if("yes".equals(rememberme)){ cookie1.setMaxAge(60*60*24*10); //默认的时间浏览器不关闭的时间;-1 表示一直有效 cookie2.setMaxAge(60*60*24*10); }else{ cookie1.setMaxAge(0); cookie2.setMaxAge(0); } //4.将会员卡带回家 response.addCookie(cookie1); response.addCookie(cookie2); //成功跳转到成功页面 //out.println("登录成功"); // /servlet/LoginServlet // /servlet/success.jsp // request.getRequestDispatcher("/admin/success.jsp").forward(request,response); HttpSession session = request.getSession(); // session.setAttribute("username",username); session.setAttribute("user",user); //response.sendRedirect("/myservlet2/admin/success.jsp"); //response.sendRedirect("https://www.bjsxt.com:443/news/11377.html"); //response.sendRedirect("http://localhost:8080/myservlet2/admin/success.jsp"); //response.sendRedirect("/myservlet2/admin/success.jsp"); //response.sendRedirect("/myservlet2/admin/success.jsp"); //response.sendRedirect(request.getContextPath()+"/admin/success.jsp"); //http://192.168.58.250:8080/myservlet2/servlet/LoginServlet //http://192.168.58.250:8080/myservlet2/admin/success.jsp //登录成功后,网站的访问人数+1 //1.获取当前的访问人数 ServletContext context = this.getServletContext(); Integer count2 = (Integer) context.getAttribute("count"); //2.人数+1 if(count2 == null){ //第一个用户 count2 = 1; }else{ count2++; } //3.再存放到application作用域中 context.setAttribute("count",count2); //http://192.168.58.250:8080/myservlet2/servlet/admin/success.jsp response.sendRedirect("../admin/success.jsp"); }else{ //失败跳转回登录页面 //out.println("登录失败"); request.setAttribute("error","用户名或者密码错误"); // RequestDispatcher rd = request.getRequestDispatcher("/admin/login.jsp"); // rd.forward(request,response); //RequestDispatcher rd = request.getRequestDispatcher("http://localhost:8080/myservlet2/admin/login.jsp"); //RequestDispatcher rd = request.getRequestDispatcher("/admin/login.jsp"); //http://192.168.58.250:8080/myservlet2/servlet/admin/login.jsp RequestDispatcher rd = request.getRequestDispatcher("../admin/login.jsp"); rd.forward(request,response); } } }
request.getSession()方法
m0_46672151的博客
03-02 1万+
文章转载:https://www.cnblogs.com/xiaoqiqistudy/p/11195652.html 1、request.getSession()可以帮你得到HttpSession类型的对象,通称之为session对象,session对象的作用域为一次会话,通浏览器不关闭,保存的值就不会消失,当然也会出现session超时。服务器里面可以设置session的超时时间,web.xml中有一个session time out的地方,tomcat默认为30分钟。 2、session.setA
request.getSession(false)
qq_30443907的博客
09-04 620
/** * Returns the current HttpSession * associated with this request or, if there is no * current session and create is true, returns * a new session. * * If create...
request.getSession(false)与request.getSession(true)区别
water_mys的专栏
10-19 263
在网上经看到有人对request.getSession(false)提出疑问,我第一次也很迷惑,看了一下J2EE1.3 API,看一下官网是怎么解释的。 【官方解释】 getSession public HttpSession getSession(boolean create) Returns the current HttpSession associated with th...
request.getSession(false)的理解
07-20 1万+
本文属于本人原创,转载请注明出处:http://blog.csdn.net/xxd851116/archive/2009/06/25/4296866.aspx 【前面的话】 在网上经看到有人对request.getSession(false)提出疑问,我第一次也很迷惑,看了一下J2EE1.3 API,看一下官网是怎么解释的。  【官方解释】   getSession  public H...
java 中 request.getSession(true、falsenull)的区别
08-31
主要介绍了java 中 request.getSession(true/false/null)的区别的相关资料,需要的朋友可以参考下
request.getSession的用法
11-29 7577
HttpRequest对象有两种形式的getSession方法调用,一个是getSession(),另一个是getSession(boolean isNew)这样的,前者会检测当前时候有session存在,如果不存在则创建一个,如果存在就返回当前的。getSession()相当于getSession(false),getSession(true)则不管当前是否存在Session都创建一个。 
创建session学习-request.getSession()
dwj_1234567的博客
08-15 2576
转载自:http://hi.baidu.com/chentjj 在HttpServlet中,HttpSession对象通request.getSession(true)方法调用时才创建。 HttpSession的使用是有代价的,需要占用服务器资源,本着能不浪费就不浪费的原则,我希望系统中的session都在掌握之中,在需要创建时由我们的代码明确创建。但是最近在开发中发现,新的sessio
getSession() , getSession(false) ,getSession(true) 区别
pjx627al的专栏
04-05 726
http://www.mimul.com/pebble/default/2006/07/20/1153394700000.html  getSession()  ,getSession(true) , getSession(false) 区别 1. getSession(), getSession(true)  - 如果HttpSession存在 就会返还 Ht
java中关于request.getSession()的几种获取方式
热门推荐
北北的博客
02-01 5万+
最近用到session来存储获取用户登录信息,使用过程中经会出现获取不到session的情况。 所以对request.getSession()的几种情况查了相关资料,以作知识储备。 在javaweb项目中,用到request.getSession()一般是存储信息到session中或者从session中获取信息。 一般有三种参数设置方式: 1.request.getSession()
request.getSession(true) request.getSession(false) request.getSession()
hanshangzhi的博客
04-25 570
request.getSession(true):若存在会话则返回该会话,否则新建一个会话。 request.getSession(false):若存在会话则返回该会话,否则返回NULL(false): request.getSession():和getSession(true)相同 使用 当向Session中存取登录信息时,一般建议:HttpSession session =re
关于request.getSession(true/false/null)的区别
gaolinwu的专栏
02-23 2万+
关于request.getSession(true/false/null)的区别 一、需求原因 现实中我们经会遇到以下3中用法: HttpSession session = request.getSession(); HttpSession session = request.getSession(true); HttpSession session = request.getSess
request.getSession()
weixin_44769957的博客
11-01 6020
session对象 session对象也是一个用的对象, 这个对象代表一次用户会话。 一次用户会话的含义是: 从客户端浏览器连接服务器开始, 到客户端浏览器与服务器断开为止, 这个过程就是一次会话。 session用于跟踪用户的会话信息, 如判断用户是否登录系统, 或者在购物车应用中, 用于跟踪用户购买的商品等。 1.客户端通是浏览器 2.session id唯一,一个session id 代表着一次会话 ...
request.getsession(false); 为null
09-07
当调用request.getSession(false)时,如果当前请求不具有会话,或者会话已经过期,则返回null。 getSession(boolean create)是javax.servlet.http.HttpServletRequest接口的一个方法。它用于获取与当前请求关联的会话。如果create参数为true,则会话不存在时会创建一个新的会话。如果create参数为false,则会话不存在时返回null,不会创建新的会话。 当调用request.getSession(false)时,如果当前请求没有会话,或者会话已经过期,则返回null。这可能会发生在以下情况下: - 第一次访问服务器时没有会话。 - 之前的会话已经过期,服务器不再保存该会话的相关信息。 为了解决这个问题,可以使用request.getSession(true)方法来创建一个新的会话。如果之前没有会话或会话已过期,它将创建一个新的会话并返回。 需要注意的是,getSession方法必须在servlet的service方法或doXXX方法中调用,否则会抛出IllegalStateException异。 总之,如果调用request.getSession(false)返回null,表示当前请求没有会话或会话已过期,可以使用request.getSession(true)方法来创建一个新的会话。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 30
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值