解决登录bug

最新推荐文章于 2022-11-16 10:13:42 发布
最新推荐文章于 2022-11-16 10:13:42 发布
阅读量657 收藏
点赞数
分类专栏: Java 文章标签: java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46683645/article/details/108592209
版权

解决登录bug,防止SQL注入

什么叫防止SQL注入,现在我们先来看一段例子:

登录系统

正常情况输入用户名 lxy 密码 111

select * from users where username = ‘lxy’ and password=‘111’
可以登录

非正常情况

例如用户 输入 ’ or 1=1 –

select * from users where username = ‘’ or 1=1 --’ and password=‘123’
也可以登录

原因:因为我们输入账户密码之后,系统会自动给我们输入的内容添加单引号(’’)包裹,因此,我们输入’or 1=1-- 之后,第一个单引号会和系统给的单引号配对,形成一个,然后系统会往后看,得到or 1=1,就是一定执行的意思。 --代表的是,其后面该行的所有东东都被注释掉的。

那就意味着,只要账号名输入 ’ or 1=1 --,密码无论输入什么,我们都能登录系统。这明显是个bug好吧。
那怎么办呢?
简单,我们需要一个工具类,对输入的内容进行判断,修复这个bug,工具类内容如下:

package com.util;

import java.util.regex.Pattern;

public class PreventSQLInjectionUtil {

    /**
     * 功能: 验证某个字符串是否可用
     * @param str 需要验证的字符串
     * @return true 可用(不包含非法字符) false不可用(包含非法字符)
     */
    public static boolean isValid(String str) {


        String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"
                + "(\\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";

        // \\b  表示 限定单词边界  比如  select 不通过   1select则是可以的
        Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);
        if (sqlPattern.matcher(str).find()) {
            System.out.println("未通过");
            return false;
        } else {
            System.out.println("通过");
        }
        return true;
    }

		//测试工具类
    public static void main(String[] args) {
        String cname = "' or 1=1 --";
        PreventSQLInjectionUtil util = new PreventSQLInjectionUtil();
        System.out.println(util.isValid(cname));
    }
}

在控制器中使用工具类进行判断

package com.servlet;

import com.service.impl.UsersServiceImpl;
import com.service.inter.UsersService;
import com.util.PreventSQLInjectionUtil;
import com.vo.Users;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@WebServlet(value = "/UserServlet")
public class UserServlet extends HttpServlet {

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        request.setCharacterEncoding("utf-8");
        String target = "";
        //一.填充数据
        String username = request.getParameter("username");
        String password = request.getParameter("password");
		
		//开始调用工具类,对输入进行判断
        boolean usernameIsOk = PreventSQLInjectionUtil.isValid(username);
        boolean passwordIsOk = PreventSQLInjectionUtil.isValid(password);

        if(!usernameIsOk || !passwordIsOk) {
            target = "jsp/user/login.jsp";
            request.setAttribute("msg", "用户名或密码包含非法字符");
            request.getRequestDispatcher(target).forward(request,response);
            return;
        }//判断结束

        //二.调用业务逻辑
        UsersService usersService = new UsersServiceImpl();
        try {
            Users user = usersService.login(username, password);

            if (user != null) {
                //登录成功
                target = "jsp/user/welcome.jsp";
                request.setAttribute("username", username);
            } else {
                target = "jsp/user/login.jsp";
                request.setAttribute("msg", "用户名或密码错误");
            }

        } catch (Exception e) {
            e.printStackTrace();

        }

        //三.转发视图
        request.getRequestDispatcher(target).forward(request, response);
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doPost(request, response);
    }
}
没什么丨好说的
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
登录小程序bug总结
RangeBlog
09-22 592
1) 登录界面(用户名和密码) 没用
登录bug修复
weixin_44540670的博客
04-07 466
开发工具与关键技术:Visual Studio 2015 作者:李敏华 撰写时间:2019-4-3 在学MVC时,老师给我们讲了一个案例。讲到登录界面时,我发现了一个bug, 就是当用户输入验证码登录时,首先会有一个加载层,但是当用户输错验证码时, 会弹出一个验证码错误的提示框,关掉提示框时,加载层却不会关闭,需要刷新 网页时才能重新输入验证码。 如下图所示: 点击确定关闭提示提示框时如下图所示...
登陆bug
12-06 524
管理站-系统登陆:不支持回车键登陆 解决: 管理站-系统登录登录系统的情况下,进行刷新,概率性出现登录名丢失,显示为null 解决: 管理站-系统登陆:登陆时,系统异常导致无法登陆,未有提示消息 解决:添加页面提示消息 管理站-系统登陆:非admin登陆成功后,在用admin登陆,记录的是上次用户登录的权限 解决:用sessionID或者不会重复的字符串区别
登录遇到的BUG
weixin_47769562的博客
11-03 255
登陆页面验证成功后history.push('/index')不生效问题 解决方法: history.push('/index') location.reload() 强制刷新页面相当于F5 控制台的Network 参数显示在Form Data中我们需要: const formData = new FormData() formData.append('username',params.username) formData.append('password', params.passwor
登录组件进行登录的时候出现的bug
qq_55151340的博客
05-31 346
在用户登录的时候,发送请求,得到相应的数据并且得到用户的一些信息,然后存入VueX里面,然后登录成功以后就进入主页面,主页面的头部会显示用户的信息,然后发现登录成功后并没有在主页面显示用户的信息①登录组件的登录的点击事件 ②Vuex里面的state,actions,mutation ③还进行一个全局前置路由守卫的一个设置,对登录和没登录的一个不同的操作 最后发现,是当登录后是异步发送请求,请求成功后就将登录成功的状态返回给登录按钮中,mutaion还没来得及将得到token存入本地,
mysq不输入密码也能登录bug&授权&修改密码
阿炳のblog
04-16 637
mysq不输入密码也能登录bug mysql授权 mysql修改密码
Bug列表1
08-08
本文将详细解析一个名为"Bug列表1"的文档,它列举了不同模块中存在的问题及其解决方案,涉及登录、直达路线查询、中转路线查询、用户订票、历史订单查询、登录以及景点查询等多个模块。 1. **登录模块**: - **Bug...
Bug Report
07-20
在IT行业中,"Bug Report" 是一个非常关键的术语,它代表了软件开发过程中用于记录、追踪和解决程序错误或异常行为的文档。一个有效的bug报告可以帮助开发人员快速定位问题,修复错误,从而提高软件质量。现在我们来...
BUG描述报告书.rar
06-13
在软件开发过程中,BUG是无法避免的,但有效的BUG描述报告是确保问题得到及时解决的关键。"BUG描述报告书.rar" 提供了一套完整的编写模板和技巧,这对于外包公司尤其重要,因为它们需要与多个团队进行高效沟通。下面...
bugfree使用
01-11
BugFree 中,登录后可以看到简洁的界面,包括产品选择框、产品模块框、个性显示框、模式切换标签、查询框、BUG 显示界面、导航栏等。用户可以根据需要对界面进行设置和配置。 四、 Bug 创建步骤 以测试者的身份...
bug管理系统
03-30
Bug管理系统是一种用于软件开发过程中跟踪、管理以及解决错误和缺陷的工具。在PHP环境中,这样的系统可以帮助团队有效地处理代码中的问题,确保软件的质量和稳定性。本文将深入探讨PHP实现的Bug管理系统的关键知识点...
修改用户密码之后无法登录
经年藏殊的博客
01-05 5221
介绍 问题的主人公是实验室的一台工作站, 给它配了Ubuntu16.04做服务器用; 今天改了自己的用户名密码之后, 远程再也登录不上了, 输入新密码之后, 一直显示安全等级为0, 无法连接; 猜测可能是系统缓存的原因吧, 本来这种事估计重启一下就好了, 但是无奈, 老师正在跑程序, 没法重启; 于是换上其他账号进去搞了好久, 最后才发现问题是出在”当前用户正在被其他进程使用中…”
Linux修改密码成功,却无法登录
最新发布
gg1314723的博客
11-16 6852
Linux修改密码成功,却无法登录
登录界面漏洞
m0_55772907的博客
04-30 6967
登录页面可能产生哪些漏洞呢? 1、注入点及万能密码登录 2、登录时,不安全的用户提示:比如提示用户名不存在或者密码验证码错误 3、查看登录页面源代码,看是否存在敏感信息泄露 4、不安全的验证码 5、在注册账号的时候,是否存在不安全的提示 6、不安全的密码,在注册账号的时候密码没有限制复杂度 7、任意无限注册账号 8、在暴力破解的时候不会限制ip,锁定用户 9、一个账号可以在多地登录,没有安全提示 10、账户登录之后,没有具备超时功能 11、OA,邮件,默认账号等相关系统,在不是自己注册
登录可能存在哪些问题
发哥微课堂
12-28 1931
登录可能存在哪些问题: 01:登录没有做次数限制,可被暴力破解。 02:登录不安全的提示,可猜测用户名和密码是否合法。 03:登录验证码失效,可被暴力破解。 04:登录验证码过于清晰,可被识别。 05:手机短信登录,验证码可被爆破。 06:手机短信登录,服务器验证码回显。 07:手机短信登录,验证码可重复使用。 08:手机短信登录有次数限制,末尾加任意字符,未做提纯可爆破。 09:登录忘记密码短...
如何解决用户无法登录
weixin_33937913的博客
01-14 363
如何解决用户无法登录 用户登不进去提示是→此系统的本地策略不允许您交互登录。 我们现在就来解决它 首先我们准备两台虚拟机(florence)域和(berlin) 我们先在域中禁止本地登录 开始→程序→管理工具→Active Directory 用户和计算机→右击域名→属性→组策略 点击浏览 点击高级 →立即查找到USERS 点击确定 注销计算机...
用户登录管理的几个命令
bug_maker
09-18 257
用户登录管理的几个命令 whoami:当前前登录到系统的有效用户 当 su username 表示的是半切换, su –username表示的是全切换,如果执行的是半切换,那么执行 whoami 显示的有可能仍然是切换之前的用户; who:显示登录到当前系统的用户以及登陆的终端;用户登录的终端类型 用户登录时通过硬件终端登录的,终端表示的是用户登录可以用于验证用户身份的软件和硬件结合的设...
BugFree缺陷管理系统使用指南
用户可以使用 Ldap 域帐号登录 BugFree。 14. 使用标记 用户可以使用标记来标记 Bug、TestCase 和 TestResult 等。 15. 如何发送定时提醒邮件 用户可以设置定时提醒邮件,提醒用户 Bug 的状态变化。 16. 更改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值