Dwr2+Struts2+Spring2.5+Hibernate3完美整合－－用户登录注册系统

　　用户注册和登录是每个系统的必须存在的一部分，基于Dwr+Struts2+Spring+Hibernate写了一个用户登录注册系统。
　　其中用Dwr去进行用户注册的用户是否存在的验证。
　　全部业务控制交由Spring去进行处理。事务处理也交由Spring去管理。
　　压缩文件中不包含Jar文件(由于全部的Jar将近12M，不能全部上传)，所用到的Jar目录为,工程中再也不会出现由于MyEclipse自动整合而出现的大量Jar文件 ：

//如果不用，启动时不会出错，但使用Dwr时，会抛出异常：java.lang.NoClassDefFoundError: antlr/ANTLRException
antlr-2.7.2.jar　

//如果不用此包，在启动时会抛出： nested exception is java.lang.NoClassDefFoundError: org/objectweb/asm/Type
asm.jar

//如果不用此包，在启动时抛出：nested exception is java.lang.NoClassDefFoundError: org/aspectj/weaver/reflect/ReflectionWorld$ReflectionWorldException
aspectjweaver.jar

//如果不用此包，在启动时抛出：nested exception is java.lang.NoClassDefFoundError: net/sf/cglib/proxy/CallbackFilter
cglib-2.1.3.jar

//如果不用此包，在启动时抛出：nested exception is java.lang.NoClassDefFoundError: org/apache/commons/collections/SequencedHashMap
commons-collections-3.1.jar

//这个似乎可以不用的
commons-fileupload-1.2.1.jar

//这个就不用说啦，几乎所有框架都要使用的
commons-logging-1.0.4.jar 

//如果不用此包会抛出：java.lang.NoClassDefFoundError: org/dom4j/DocumentException
dom4j-1.6.1.jar

//dwr必须
dwr.jar 


//不用此包，在启动时招聘：java.lang.NoClassDefFoundError: javax/transaction/TransactionManager
jta.jar

//Mysql　JDBC驱动
mysql-connector.jar

//Hibernate必须使用，注意此包是包含全部的。
hibernate3.jar

//Spring整体包
spring.jar            

//struts2必须               
freemarker-2.3.8.jar   
//struts2必须
ognl-2.6.11.jar       
//struts2核心包
struts2-core-2.0.11.2.jar
//struts2整合Spring插件  
struts2-spring-plugin-2.0.11.2.jar 
//struts2必须
xwork-2.0.5.jar 

　　数据库设计(使用MySql数据库)：

create table user
(
  id varchar(32) not null,
  userName varchar(20),
  password varchar(20),
  primary key(id)
);
create table user_infor
(
  id varchar(32) not null,
  user_id varchar(32),
  name varchar(20),
  email varchar(30),  
  sex char,
  age int,
  address varchar(300),
  primary key(id)
);
ALTER TABLE user_infor
    ADD FOREIGN KEY(user_id) 
    REFERENCES user(id)
    ON DELETE CASCADE;

由于没有包含全部的Jar文件，所以朋友需要把上面所述的Jar加载。
如果有需要Jar文件的朋友可以发邮件给我:jackzhangyunjie@163.com，我会把所有Jar文件发给大家。
也可以去我的网站下载：http://www.52cfml.com/post/usersystem.html

评论

42 楼 tinren 2008-09-09  

记号，回家看看

41 楼 drinkjava 2008-09-09  

小提醒，如果不是从正常渠道下下来的jar包，都不可信,防止中毒

40 楼 haolx 2008-09-08  

楼主在吗？ 我部署的怎么有错啊，能不能把你跑起来的 给我发一份啊？ 谢啦！
363793673@qq.com

39 楼 Jinnywww 2008-09-08  

谢谢楼主分享经验

38 楼 itling 2008-09-08  

看来还得看清楚点 再发表评论

37 楼 thinkintime 2008-09-08  

igogo007 写道

你那dwr做的检测用户名是否存在也太慢了

关注你检测较快的做法？

36 楼 igogo007 2008-09-07  

你那dwr做的检测用户名是否存在也太慢了

35 楼 key232323 2008-09-07  

kakaluyi 写道

这个帖子也可以被投精华，误人子弟啊
楼主你登陆判断这个函数
public boolean findUserByUNameAndPwd(String userName,String password) throws RuntimeException{
boolean flag = false;
String hql = "select user from User as user where user.userName=? and user.password=?";
Query query = this.getSession().createQuery(hql);
query.setString(0, userName);
query.setString(1, password);
List list = query.list();
if(list.size()>0){
flag = true;
}
return flag;
}
这句，
String hql = "select user from User as user where user.userName=? and user.password=?";
问你一下如果我密码 password=任意值 or 1=1;这样都可以登陆成功，安全性太差了，这可是最基本的防sql攻击要注意的啊

预编译不是默认的防止sql注入的么？？？？
hibernate的底层代码难道不是preparestatement？

34 楼 luckyhero 2008-09-06  

kakaluyi 写道

这个帖子也可以被投精华，误人子弟啊
楼主你登陆判断这个函数
public boolean findUserByUNameAndPwd(String userName,String password) throws RuntimeException{
boolean flag = false;
String hql = "select user from User as user where user.userName=? and user.password=?";
Query query = this.getSession().createQuery(hql);
query.setString(0, userName);
query.setString(1, password);
List list = query.list();
if(list.size()>0){
flag = true;
}
return flag;
}
这句，
String hql = "select user from User as user where user.userName=? and user.password=?";
问你一下如果我密码 password=任意值 or 1=1;这样都可以登陆成功，安全性太差了，这可是最基本的防sql攻击要注意的啊

这位兄弟，你提到的问题确实应该注意，不过好像发错位置了，呵呵，还需要仔细研究一下Hibernate or standard SQL。。。

33 楼 lizhaning 2008-09-05  

关于hql，楼主写法是正确的，不明白的可以去看下hibernate的参考

32 楼 cxh_javaeye 2008-09-05  

下下来看看

31 楼 hitemplar 2008-09-05  

不错，支持一下

30 楼 friendly888 2008-09-04  

thanks a lot!!!

29 楼 yusihan 2008-09-04  

kakaluyi 写道

这个帖子也可以被投精华，误人子弟啊
楼主你登陆判断这个函数
public boolean findUserByUNameAndPwd(String userName,String password) throws RuntimeException{
boolean flag = false;
String hql = "select user from User as user where user.userName=? and user.password=?";
Query query = this.getSession().createQuery(hql);
query.setString(0, userName);
query.setString(1, password);
List list = query.list();
if(list.size()>0){
flag = true;
}
return flag;
}
这句，
String hql = "select user from User as user where user.userName=? and user.password=?";
问你一下如果我密码 password=任意值 or 1=1;这样都可以登陆成功，安全性太差了，这可是最基本的防sql攻击要注意的啊

红色部分使用绑定变量进行数据库查询，即先生成sql语句至数据库缓存，所以后面跟任何字符都不会重新组合已经产生的sql语句，只会被当作变量来读取，因此不会产生注入，其实这也是防止sql注入最简单的方法了

另附容易产生sql注入的代码作为比较：
String hql = "select user from User as user where user.userName="+userName+" and user.password="+password;

28 楼 kakaluyi 2008-09-04  

这个我确实把hql当成sql来对待了，可能是没有必要
但你确定读过hibernate的sql占位符转换方式源码，确定这种方式不会被攻击吗，呵呵，jdbc时代这种语句偶是不敢写的

27 楼 jackzhangyunjie 2008-09-04  

回复kakaluyi，我不知道你是否运行我的例子，希望你先运行一下再发表评论。

26 楼 fish4j 2008-09-04  

那是hql,不会跟or 1=1 组成sql语句的

25 楼 zzm_fly2004 2008-09-04  

kakaluyi 写道

楼主在登陆的密码输入框输入
anypassword or 1=1,就可以登陆成功了，原理可以自己在数据库试试

试了，如果输入anypassword or 1=1，验证也没通过，登录不了。我觉得上面那个hql语句经HIBERNATE解释之后应该输出这样的sql原型：
select * from t_user t where t.name='输入框里面输入的帐号' and t.pwd='anypassword or 1=1';
除非数据库里面的这个人的密码真的是“anypassword or 1=1”，如果不是，那也验证不过吧。
哈哈，不知道这样说对不对。

24 楼 kakaluyi 2008-09-04  

楼主在登陆的密码输入框输入
anypassword or 1=1,就可以登陆成功了，原理可以自己在数据库试试

23 楼 zzm_fly2004 2008-09-04  

kakaluyi 写道

这个帖子也可以被投精华，误人子弟啊
楼主你登陆判断这个函数
public boolean findUserByUNameAndPwd(String userName,String password) throws RuntimeException{
boolean flag = false;
String hql = "select user from User as user where user.userName=? and user.password=?";
Query query = this.getSession().createQuery(hql);
query.setString(0, userName);
query.setString(1, password);
List list = query.list();
if(list.size()>0){
flag = true;
}
return flag;
}
这句，
String hql = "select user from User as user where user.userName=? and user.password=?";
问你一下如果我密码 password=任意值 or 1=1;这样都可以登陆成功，安全性太差了，这可是最基本的防sql攻击要注意的啊

呵呵，如果单纯的一个DEMO就没必要那么计较，相信楼主在实际项目中会注意到这问题.
而且尝试了一下，好像真的就这样写（password=任意值 or 1=1）密码，登录也不会成功，还请指教