session标签实例:简单的系统登录代码(巧妙地避开SQL注入攻击)

最新推荐文章于 2024-07-07 13:30:11 发布
最新推荐文章于 2024-07-07 13:30:11 发布
阅读量1.6k 收藏
点赞数 7
分类专栏: 轻开平台 Easy do it(原WebEasy平台) Web开发 java 文章标签: session标签 用户登录 SQL注入 Web开发 密码检验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tx18/article/details/44118345
版权

提交用户名和密码到服务器,以用户为条件查询用户记录,然后判断用户是不是已经注册,若注册就判断密码是否正确,正确则成功登录,在会话中记录用户的相关信息。查询中只以用户名为条件,让数据库从单列索引中快速找出匹配的用户记录,速度远快于同时使用用户名和密码作为条件的查询,而且还巧妙地避开了SQL注入攻击。

登录页

表单代码

              <FORM name=form1 action="" method=post οnsubmit="return checkval();">
			  <input name=url value="base/index.html" type=hidden> 
              <TR>
                <TD align=right width=64 height=25>用户:</TD>
                <TD vAlign=top width=112 height=25><INPUT 
                  style="FONT-SIZE: 12px; WIDTH: 100px; COLOR: #000000; BACKGROUND-COLOR: #fef7d4" 
                  name=USERNAME></TD>
                <TD vAlign=top width=1> </TD></TR>
              <TR>
                <TD align=right width=64 height=25>密码:</TD>
                <TD vAlign=top width=112 height=25><INPUT 
                  style="MARGIN-TOP: 14px; FONT-SIZE: 12px; WIDTH: 100px; COLOR: #000000; BACKGROUND-COLOR: #fef7d4" 
                  type=password name=PASS> </TD>
                <TD vAlign=top width=1> </TD></TR>
校验的脚本 
var url = location.href;
function checkval()
{	
	var pos = url.indexOf("index.htm");
	url = url.substring(0,pos)+"base/check.chtml";
	form1.action = url;
	if(form1.USERNAME.value=="")
	{
		alert("请输入用户名");
		form1.USERNAME.focus();
		return false;
	}  
	if (form1.PASS.value=="")
	{
		alert("请输入密码");
		form1.PASS.focus();
		return false;
	}
 }
效果

登录确认页

查询

<ESql module=base id=user>Select WE_ID,USERNAME,PASS,CNNAME,DEPT,ACL,PHOTO,PHONE,MOBILE,EMAIL,OICQ,MSN,ENROLLTIME From BASE_USERS Where USERNAME='@{pPage:USERNAME}'</ESql>
判断用户存在否,不存在则回到表单页 
<if x="@{logic:@{user:getLength}=0}" else=1>
	<we x=true>
		<script>alert("用户:@{pPage:USERNAME} 尚未注册!");history.back();</script>
	</we>
	... ...
</if>
判断密码正确不,不正确则回到表单页 
	<if x="@{user:PASS}" else=1>
		<we x="@{pPage:PASS}">
			... ...
		</we>
		<script>alert("密码不对!");history.back();</script>
	</if>
密码正确则登录成功,在会话记录用户的相关信息 
			<session>
				<we name=WE_ID>@{user:WE_ID}</we>
				<we name=USERNAME>@{user:USERNAME}</we>
				<we name=PASS>@{user:PASS}</we>
				<we name=CNNAME>@{user:CNNAME}</we>
				<we name=DEPT>@{user:DEPT}</we>
				<we name=ACL>@{user:ACL}</we>
				<we name=PHOTO>@{user:PHOTO}</we>
				<we name=PHONE>@{user:PHONE}</we>
				<we name=MOBILE>@{user:MOBILE}</we>
				<we name=EMAIL>@{user:EMAIL}</we>
				<we name=OICQ>@{user:OICQ}</we>
				<we name=MSN>@{user:MSN}</we>
				<we name=ENROLLTIME>@{user:ENROLLTIME}</we>
			</session>
跳转到登录成功后的指定网页 
<script>location.href='@{sys:face}@{pPage:url}';</script>
完整代码 
<html>
<chtml>
<ESql module=base id=user>Select WE_ID,USERNAME,PASS,CNNAME,DEPT,ACL,PHOTO,PHONE,MOBILE,EMAIL,OICQ,MSN,ENROLLTIME From BASE_USERS Where USERNAME='@{pPage:USERNAME:}'</ESql>
<if x="@{logic:@{user:getLength}=0}" else=1>
	<we x=true>
		<script>alert("用户:@{pPage:USERNAME} 尚未注册!");history.back();</script>
	</we>
	<if x="@{user:PASS}" else=1>
		<we x="@{pPage:PASS}">
			<session>
				<we name=WE_ID>@{user:WE_ID}</we>
				<we name=USERNAME>@{user:USERNAME}</we>
				<we name=PASS>@{user:PASS}</we>
				<we name=CNNAME>@{user:CNNAME}</we>
				<we name=DEPT>@{user:DEPT}</we>
				<we name=ACL>@{user:ACL}</we>
				<we name=PHOTO>@{user:PHOTO}</we>
				<we name=PHONE>@{user:PHONE}</we>
				<we name=MOBILE>@{user:MOBILE}</we>
				<we name=EMAIL>@{user:EMAIL}</we>
				<we name=OICQ>@{user:OICQ}</we>
				<we name=MSN>@{user:MSN}</we>
				<we name=ENROLLTIME>@{user:ENROLLTIME}</we>
			</session>
			<script>location.href='@{sys:face}@{pPage:url}';</script>
		</we>
		<script>alert("密码不对!");history.back();</script>
	</if>
</if>
</chtml>
</html>
若有不明白之处请在评论中提出,我会与大家一起深入讨论 微笑

轻开平台资源下载及说明

平台及最新开发手册免费下载:http://download.csdn.net/detail/tx18/8464425

开发实例:轻开B2C电子商务网站,免费下载:http://download.csdn.net/detail/tx18/8318585
轻开平台会不定期升级为大家提供更多强大而Easy的功能,请留意下载最新的版本
boy
关注
专栏目录
SQL注入各种注入原理|绕过技巧|带实例详解|
没有
03-19 8276
Union(联合)注入攻击详解、 字符型union注入、Boolean(布尔盲注)注入攻击详解、报错注入攻击详解(报错注入只显示一条结果,通常要使用limit)、时间注入攻击、堆叠查询注入攻击、二次注入攻击、宽字节注入攻击、cookie注入攻击、base64注入攻击、XFF注入攻击SQL注入绕过技术、sql注入修复建议
电子商务系统完整代码
12-07
☆ 新版支付宝功能,可直接付款给支付宝或采用即时到帐交易! ☆ 增加商品图的预览功能,可对图片任意放大、缩小!便于用户查看商品并购买! ☆ 全新SEO搜索引擎优化处理,让您的网站在搜索引擎中脱颖而出 ☆ 单个商品可添加搜索关键词信息,更易推广和被搜索引擎识别。 ☆ 完美整合BBS论坛程序,用户帐号一站式通用! ☆ 强大的后台权限分配管理,可对管理员所有管理操作进行权限划分! ☆ 独有的6种在线支付方式可选择方式,在线支付均可开启或关闭。 ☆ 站内短信功能,管理员与用户之间可互发短信,方便与用户沟通! ☆ 管理员后台登陆具有软键盘功能,后台登陆更安全。 ☆ 支付宝后期支付、在线充值、匿名购物、多样的FLASH广告形式! ☆ 增加前台多处功能的开启/关闭操作,管理功能更丰富 ☆ 具有文字友情链接和LOGO友情链接多种链接形式。 ☆ 完善了购物系统的多处问题,程序执行速度更快、安全性更高。
[原创]新型注入方式直击网络——session注入探究 邪恶八进制信息安全团队官方讨论组 努力为祖国的信息安全撑起一片蓝天 - EvilOctal Security Team - E_S_T.mht
08-22
[原创]新型注入方式直击网络——session注入探究 邪恶八进制信息安全团队官方讨论组 努力为祖国的信息安全撑起一片蓝天 - EvilOctal Security Team - E_S_T.mht
Session 案例:简单完成登录功能
weixin_30569001的博客
06-09 100
1,LoginServlet.java 登录Servlet 用Session保存登陆成功用户,代码如下: import java.io.IOException; import java.io.PrintWriter; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; ...
免杀笔记 ---> Session0--DLL注入
最新发布
huohaowen的博客
07-07 991
刚更新完上一篇,于是我们就马不停蹄的去跟新下一篇!!Session0注入这次,我把这个脚本直接传到Github上了 喜欢的师傅点个Star噢 (❤ ω ❤)whoami-juruo/DLLInjectTools: 一款集成了窃取令牌和从Session0和3进行DLL注入的工具。
web有关session标签使用
weixin_43232423的博客
06-04 1024
session用来解决什么问题? 当用户访问服务器是服务器无法记录用户信息是否为同一用户,所以使用session标签标记用户身份, session什么时候创建和结束?(生命周期) 会话是指一个用户打开浏览器连接到服务器,开始客户关闭浏览器离开这个服务器结束,被成为一个会话,session对象会在第一个对象在第一个jsp页面被装载时自动创建。session对象被分配了一个String类型的id号...
php sql注入 session,[PwnThyBytes 2019]Baby_SQL(session+sql注入)
weixin_39874350的博客
03-16 392
source.zip得到源码。开始审计在index.php中。对所有输入进行了addslashes转义。在login.php中!isset($_SESSION) AND die("Direct access on this script is not allowed!");include 'db.php';$sql = 'SELECT `username`,`password` FROM `ptb...
第7课:sql注入、操作session、cookie实例、网络编程、操作Excel
weixin_34261415的博客
02-02 298
1. 简单讲一些sql注入的内容 name = 'zdq' sex = '女' cur.execute("select * from bt_stu where real_name='%s'" % name) # 可以sql注入 cur.execute("select * from bt_stu where real_name=%s and sex=%s",(name,sex)) #...
360提供的php防sql注入代码修改类
05-02
2. 参数化查询:与预处理类似,参数化查询能确保用户输入的数据不会被解析为SQL代码。 3. 输入验证:对用户输入进行严格的验证和清理,如限制输入长度,过滤特殊字符等。 4. 错误处理:避免泄露数据库结构和信息,应...
基于PHP MySQL的用户登录系统SQL注入实例及防范.pdf
09-19
SQL注入是一种代码注入技术,攻击者通过在应用程序的输入字段中插入恶意的SQL代码片段,利用应用程序对输入处理不当的漏洞,以执行非授权的数据库查询或操作。在用户登录系统中,这种攻击可能会被用来绕过验证机制,...
php登录页面实现-SQL注入
03-07
然而,如果不正确地处理用户输入,登录页面可能会遭受SQL注入攻击。下面将详细讨论PHP登录页面实现及其与SQL注入的相关知识点。 1. PHP登录页面基础: - `conn.php`:这个文件通常包含数据库连接代码使用PHP的`...
Python中防止sql注入的方法详解
09-21
SQL注入是一种常见的网络安全攻击手段,攻击者通过在输入数据中嵌入恶意SQL代码,利用应用程序的漏洞执行非法操作,如篡改、删除或检索敏感数据等。对于使用Python进行Web开发的人员来说,了解如何有效地预防SQL注入...
使用Session防止表单重复提交(超详细)
街角有人祝福,巷口有人哭~
11-25 1950
文章链接:https://www.cnblogs.com/joyco773/p/6038022.html
php sql注入 session,PHP 关于SQL注入的防范措施。
weixin_39873325的博客
03-16 132
最近在使用框架的时候还是有点不安,不知道框架的设计者有没有考虑到SQL-Injection的问题,我在顶层需不需要做一些必要的过滤等等,由此我特意的去StackOverflow看了下,真是获益良多,然后我去看了下框架的DB库的内部方法,然后就比较安心了。分享下国内外PHP程序员在处理SQL-Injection的一些方案。国外普遍都推荐,只要你是使用查询都应该做到两点:1.prepared stat...
session注入
weixin_30799995的博客
08-15 532
codz: <%dim rsset rs=Server.Createobject("Adodb.recordset")sql="select * from kevinadmin"rs.open sql,connoldpass=rs("k_pass")rs.closesql="update kevinadmin set k_pass='" & request.Form("...
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决
zxy840552216的博客
07-13 159
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法: 补丁文件:/include/common.inc.php 漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的
java学习之mysql第二十二一天( --JDBC--查询--登录--避免sql注入--)
博客
06-14 270
      你想要多大的成功,你愿意为这份成功付出什么?1.  JDBC:  是Java提供的一套类和接口 是链接数据库的一套规范;2. JDBC为我们提供了java连接数据库的驱动。而这个驱动也是由Java开发出来的,我们只需要将这个驱动放进项目中,通过这个 驱动,我们就可以用Java连接数据库,进行数据库的管理操作。3:  了解:JDBC与ODBC的区别:二者皆可以实现对数据库的操作(连接、增...
sql注入简单介绍
qq_42569334的博客
09-28 326
sql注入: 注⼊攻击Web 安全领域中⼀种最为常⻅的攻击⽅式。 XSS 本质上也是⼀种针对 HTML 的注⼊攻击。 注⼊攻击的本质,是把⽤户输⼊的数据当做代码执⾏。 这⾥有两个关键条件: 1.⽤户能够控制输⼊ 2.原本程序要执⾏的代码,拼接了⽤户输⼊的数据 。 1. SQL 注⼊简介 SQL 注⼊攻击简介: 在今天,SQL 注⼊对于开发者来说,应该是⽿熟能详了。⽽ SQL 注⼊第 ⼀次为公众所知,是在 1998 年的著名⿊客杂志《Phrack》第 54 期上, ⼀位名叫rfp的⿊客发表了⼀篇题为"NT
SSH架构搭建:登录实例代码详解
本文档详细介绍了SSH(Spring、Struts和Hibernate)架构的搭建过程,特别是关注于登录实例开发。...通过这个登录实例,读者能够理解如何在一个实际项目中整合和应用SSH架构,从而更好地构建企业级Web应用程序。
评论 22
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值