论坛首页 Java企业应用论坛

Dwr2+Struts2+Spring2.5+Hibernate3完美整合--用户登录注册系统

浏览 46648 次
锁定老帖子 主题:Dwr2+Struts2+Spring2.5+Hibernate3完美整合--用户登录注册系统
精华帖 (6) :: 良好帖 (5) :: 新手帖 (2) :: 隐藏帖 (0)
作者 正文
  • luckyhero
  • 等级: 初级会员
  • 性别:
  • 文章: 11
  • 积分: 30
  • 来自: 北京
   发表时间:2008-09-06  
kakaluyi 写道
这个帖子也可以被投精华,误人子弟啊
楼主你登陆判断这个函数
public boolean findUserByUNameAndPwd(String userName,String password) throws RuntimeException{
boolean flag = false;
String hql = "select user from User as user where user.userName=? and user.password=?";
Query query = this.getSession().createQuery(hql);
query.setString(0, userName);
query.setString(1, password);
List list = query.list();
if(list.size()>0){
flag = true;
}
return flag;
}
这句,
String hql = "select user from User as user where user.userName=? and user.password=?";
问你一下如果我密码 password=任意值 or 1=1;这样都可以登陆成功,安全性太差了,这可是最基本的防sql攻击要注意的啊



这位兄弟,你提到的问题确实应该注意,不过好像发错位置了,呵呵,还需要仔细研究一下Hibernate or standard SQL。。。
返回顶楼
          回帖地址
0 请登录后投票
  • key232323
  • 等级: 五星会员
  • 性别:
  • 文章: 837
  • 积分: 780
  • 来自: 深圳
   发表时间:2008-09-07  
kakaluyi 写道
这个帖子也可以被投精华,误人子弟啊
楼主你登陆判断这个函数
public boolean findUserByUNameAndPwd(String userName,String password) throws RuntimeException{
boolean flag = false;
String hql = "select user from User as user where user.userName=? and user.password=?";
Query query = this.getSession().createQuery(hql);
query.setString(0, userName);
query.setString(1, password);
List list = query.list();
if(list.size()>0){
flag = true;
}
return flag;
}
这句,
String hql = "select user from User as user where user.userName=? and user.password=?";
问你一下如果我密码 password=任意值 or 1=1;这样都可以登陆成功,安全性太差了,这可是最基本的防sql攻击要注意的啊


预编译不是默认的防止sql注入的么????
hibernate的底层代码难道不是preparestatement?
返回顶楼
          回帖地址
0 请登录后投票
  • igogo007
  • 等级: 初级会员
  • 性别:
  • 文章: 105
  • 积分: 0
  • 来自: 北京
   发表时间:2008-09-07  
你那dwr做的检测用户名是否存在也太慢了

返回顶楼
          回帖地址
0 请登录后投票
  • thinkintime
  • 等级: 初级会员
  • 性别:
  • 文章: 32
  • 积分: 30
  • 来自: 上海
   发表时间:2008-09-08  
igogo007 写道
你那dwr做的检测用户名是否存在也太慢了


关注你检测较快的做法?
返回顶楼
          回帖地址
0 请登录后投票
  • drinkjava
  • 等级: 初级会员
  • 性别:
  • 文章: 69
  • 积分: 30
  • 来自: 0
   发表时间:2008-09-09  
小提醒,如果不是从正常渠道下下来的jar包,都不可信,防止中毒
返回顶楼
          回帖地址
0 请登录后投票
  • jy02411368
  • 等级: 初级会员
  • 性别:
  • 文章: 23
  • 积分: 0
  • 来自: 深圳
   发表时间:2008-09-11  
永远支持JACK哈  人家写这么好的例子放到网上 有些人虽然也能写 但不是说自己没时间就是别的 总之就最喜欢的就是站在旁边挑三拣四 有本事自己去写啊!
返回顶楼
          回帖地址
0 请登录后投票
  • jy02411368
  • 等级: 初级会员
  • 性别:
  • 文章: 23
  • 积分: 0
  • 来自: 深圳
   发表时间:2008-09-11  
支持。。。不是刷帖。。。这种好东西 确实应该加精了 版主。。。网上这种例子及其的难找 我是下下来 而且运行成功了~~~~
返回顶楼
          回帖地址
0 请登录后投票
  • reckey
  • 等级: 初级会员
  • 性别:
  • 文章: 8
  • 积分: 30
  • 来自: 广州
   发表时间:2008-09-11  
kakaluyi 写道
这个我确实把hql当成sql来对待了,可能是没有必要
但你确定读过hibernate的sql占位符转换方式源码,确定这种方式不会被攻击吗,呵呵,jdbc时代这种语句偶是不敢写的


请问你觉得这样安全性不好,不是这样验证的,那你是如何做的?
返回顶楼
          回帖地址
0 请登录后投票
  • meng9999
  • 等级: 初级会员
  • 性别:
  • 文章: 19
  • 积分: 30
  • 来自: 上海
   发表时间:2008-09-11  
实现一个用户登录注册系统这么麻烦;
java真是走得越来越复杂了;
如果用php就一个php文件;不需要什么框架;
学习,了解,熟悉这4个框架可能就要几年的时间;
这么多人下载了你的例子,还有这么多的问题;

返回顶楼
          回帖地址
0 请登录后投票
  • richardlovejob
  • 等级: 初级会员
  • 性别:
  • 文章: 53
  • 积分: 0
  • 来自: 凭祥
   发表时间:2008-09-12  
我要所有的JAR包,希望楼主能发发一份,谢谢,留个邮箱:jinbu02cn@yahoo.com.cn
返回顶楼
          回帖地址
0 请登录后投票
论坛首页 Java企业应用版

跳转论坛:
Global site tag (gtag.js) - Google Analytics