黑马程序员_不安全的用户名密码验证

最新推荐文章于 2023-03-21 10:39:24 发布
最新推荐文章于 2023-03-21 10:39:24 发布
阅读量883 收藏
点赞数
分类专栏: java学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gmx1234/article/details/8658669
版权
------- android培训java培训、期待与您交流! ----------

在验证用户名和密码时使用的方法是,先用用户名(uid)得到一个User类型的对象user,再用equals方法匹配userpassword属性和表单提交的password数据是否相等。为什么要这样做呢?为什么不直接将表单提交的数据uidpassword传递到DAO类,然后编写如下的查询语句,如果有结果返回则表明登录成功?

SELECT * FROM  user  WHERE uid=” + ‘uid’ +” and password=” ‘+ password +’ ”

这是许多初学者和经验不足的程序员会写出的语句,表面上看起来这样的语句没有任何问题,可是当遇到有意图的破坏者,这将会产生严重的后果。试想,如果用户在登录表单的密码输入框中输入的内容为“ ‘or’ ‘1’=‘1’”,而不管在用户名输入框中输入什么内容,以上的SQL语句组合完毕过后将有如下的形式:

SELECT * FROM  user  WHERE uid=’asdf’ and password=’ ’ or ‘1’ = ‘1’

显然,无论用户名输入什么,这条语句总能将user表中的所有内容查出来,也就是说,破坏者只需要输入一些特殊的字符就可以轻易地登录到系统,这无疑是一个极大的漏洞,潜在的损失也就是不可估量的。

因此,在验证用户名和密码时使用的方法是,先用用户名(uid)得到一个User类型的对象user,再用equals方法匹配userpassword属性和表单提交的password数据是否相等。

gmx1234
关注
专栏目录
黑马程序员_HTML+JSP:注册表单
明天
03-06 691
------- android培训、java培训、期待与您交流! ---------- 无标题文档 table{ border:#0066FF 1px solid; width:600px; border-collapse:collapse; } table td,table th{ border:#0066FF 1px solid; padding:10px; }
模拟用户登录过程,验证用户名密码和校验码,如果全部正确提示用户登录成功,否则,提示用户相关输入错误
假技术Po主
06-02 1万+
要求:模拟用户登录过程,验证用户名密码和校验码,如果全部正确提示用户登录成功,否则,提示用户相关输入错误。 目的:掌握登录校验的规则和原理。 //登录验证 #include<stdio.h> #include<stdlib.h> #include<string.h> void main() { char username[20]; char passwor...
黑马程序员_使用JavaMail发送注册验证邮件
梦晓的博客
03-11 1504
------- android培训、java培训、期待与您交流! ---------- JavaMail是Sun发布的用来处理E-mail的API,它可以方便地执行一些常用的邮件传输。虽然JavaMail是Sun的API之一,但它没有被加在标准的Java开发工具包(JDK)中,这就意味着使用之前必须另外下载JavaMail文件(http://www.sun.com),除此之外,要使用JavaMa
Node.js教程 - 黑马程序员 - ev_api_server
star_3344的博客
03-16 407
node.js学习过程中用到的 修改了部分原文件中遇到的问题
验证用户名密码-课后程序(JavaScript前端开发案例教程-黑马程序员编著-第1章-课后作业)
芝麻的博客
03-21 1225
prompt()是window对象的方法,其完整写法是window.prompt(),本案例用于验证用户名密码是否正确。
黑马程序员__API概述
haojude的专栏
05-06 422
------Java培训、Android培训、iOS培训、.Net培训、期待与您交流! ------- 一、String类:  1.String 类代表字符串。Java 程序中的所有字符串字面值(如"abc" )都作为此类的实例实现。  2.字符串是常量;它们的值在创建之后不能更改。  3.String 对象是不可变的,所以可以共享。  一.S
黑马程序员_集合
weixin_30629977的博客
08-26 48
------- <a href="http://www.itheima.com" target="blank">android培训</a>、<a href="http://www.itheima.com" target="blank">java培训</a>、期待与您交流! ---------- 一.集合:1.数组的弊端:  1).其长度一旦确...
黑马程序员_MongoDB笔记
qq_62656514的博客
10-25 3365
一份比较粗糙的MongoDB笔记~
黑马程序员最新版JavaWeb综合案例(前后端完整版)
热门推荐
鲁棒最小二乘支持向量机
06-28 10万+
黑马程序员最新版JavaWeb综合案例(前后端完整版)
黑马程序员分布式优品电商项目完整视频资料
02-19
2. **身份验证**:通过用户名密码、令牌等方式确认用户身份。 3. **权限控制**:对不同角色的用户设置访问权限,防止非法操作。 ### 总结 “黑马程序员分布式优品电商项目”是一套完整的视频教程,涵盖了分布式...
SpringBoot-登录认证-黑马程序员学习笔记
最新发布
05-21
总的来说,"SpringBoot-登录认证-黑马程序员学习笔记"涵盖了Spring Security的基本用法,包括如何启用、自定义登录页面、认证逻辑以及权限控制。通过阅读源码和实践,开发者可以更深入地理解Spring Security的工作...
黑马程序员课程Vue实战项目_Element_UI——实现登录功能笔记
weixin_48884617的博客
03-17 8582
黑马程序员课程Vue实战项目_Element_UI——实现登录功能笔记
黑马程序员_使用DataSource接口连接数据源
梦晓的博客
03-11 2152
------- android培训、java培训、期待与您交流! ---------- 普通的数据库连接往往直接使用DriverManager获取,这种方式需要将连接参数,如数据库驱动名、连接字符串、用户名密码等数据库连接信息写到配置文件或者程序中,其他地方调用连接操作数据库之后,需要释放并关闭数据库连接,并没有重复利用数据库的连接资源。下面的示例代码给出了这种方式获取数据库连接的具体实现:
黑马程序员_用Session保存登录信息
梦晓的博客
03-08 901
------- android培训、java培训、期待与您交流! ---------- Session是一个用来跟踪与一个用户交互过程及其状态的对象,其特点是可以为每个用户保存信息。Session的信息保存在服务器端,Session的id保存在客户机的cookie中。如果客户机禁止cookie,Session id就必须附加在URL后面。一般可以在服务器上设置一个Session过期时间,当客户停
黑马程序员_java连接数据库
梦晓的博客
03-11 740
------- android培训、java培训、期待与您交流! ---------- 连接数据库需要经过以下几个步骤: 1、 根据驱动程序名称driverName,利用Java反射机制,加载数据库驱动程序; 2、 根据连接字符串connectionURL,从驱动管理器中获取数据库连接对象; 3、 利用数据库连接对象进行数据库操作。 代码如下: Class providerClas
黑马程序员_java输出流和输入流
梦晓的博客
03-11 685
------- android培训、java培训、期待与您交流! ----------    java中输入和输出组织不同于大多数其他语言。它是建立在流(stream)上。不同的基本流类(如java.io.FileInputStream和sun.net.TelnetOutputStream)用于读写特定的数据资源。但是所有的基本输出流使用同一种基本方法读数据。        过滤器流可以连接
黑马程序员_Java基础加强高新技术笔记(一)
梦晓的博客
11-03 588
eclipse开发工具 1.IDE开发工具都支持使用工程化方式管理一个项目的程序开发过程,一般来说一个相对独立的项目就是一个工程,一个项目中涉及的多个java文件,资源文件等用一个工程进行管理。(在这里可以看看以前工作间中的某个工程的结构),在不使用工程管理的情况下,如果一个项目中包括多个Java源文件,编程人员需要精心维护这些源文件之间、以及源文件与其它文件的目录关系,需要逐一编译这些源文件,
黑马程序员_网络编程之TCP和UDP
梦晓的博客
03-19 583
------- android培训、java培训、期待与您交流! ---------- TCP服务端: import java.io.DataInputStream; import java.io.IOException; import java.net.ServerSocket; import java.net.Socket; /** * 网络
js表单验证黑马程序员
04-29
黑马程序员是一家IT教育机构,他们在课程中也讲解了JavaScript表单验证的相关知识。在学习过程中,学员可以通过掌握正则表达式、使用JavaScript的表单对象和事件处理程序等技术,实现对表单的验证。 表单验证主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值