1.sql注入问题:如果在DAO层中使用JDBC语句来执行sql语句,需要注意不能使用Statement对象,因为Statement在使用中很容易造成sql注入。例如,在登录时,如果用户名为空,密码为dadaceqeewdcefcfew2eqweqw' or 1=1',由于statement使用字符串拼接来凑成sql语句,这样就可以造成sql注入的问题。应该使用PreparedStatement.PreparedStatement有setString(int position,String s),setInt(int position,int s)等方法,可以用来给sql语句设置参数。
2.后台判断用户名或者密码是否为空:if(uname!=null&&uname.length()<1){
}.其中,uname!=null是为了避免通过前端修改掉表单而造成uname==null。
3.使用"123".equals(uname)的方法而不是uname.equals("123")的方法来避免出现NullException.
4.MD5加密的方法:
package com.wang.util;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import sun.misc.BASE64Encoder;
public class MD5Util {
public static String encrypt(String str){
String str2=null;
try {
MessageDigest md = MessageDigest.getInstance("md5");
byte[] buf = md.digest(str.getBytes());
BASE64Encoder coder = new BASE64Encoder();
str2=coder.encode(buf);
} catch (Exception e) {
e.printStackTrace();
}
return str2;
}
}