session标签实例:简单的系统登录代码(巧妙地避开SQL注入攻击)

本文主要是介绍session标签实例:简单的系统登录代码(巧妙地避开SQL注入攻击),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

提交用户名和密码到服务器,以用户为条件查询用户记录,然后判断用户是不是已经注册,若注册就判断密码是否正确,正确则成功登录,在会话中记录用户的相关信息。查询中只以用户名为条件,让数据库从单列索引中快速找出匹配的用户记录,速度远快于同时使用用户名和密码作为条件的查询,而且还巧妙地避开了SQL注入攻击。

登录页

表单代码

              <FORM name=form1 action="" method=post οnsubmit="return checkval();"><input name=url value="base/index.html" type=hidden> <TR><TD align=right width=64 height=25>用户:</TD><TD vAlign=top width=112 height=25><INPUT style="FONT-SIZE: 12px; WIDTH: 100px; COLOR: #000000; BACKGROUND-COLOR: #fef7d4" name=USERNAME></TD><TD vAlign=top width=1> </TD></TR><TR><TD align=right width=64 height=25>密码:</TD><TD vAlign=top width=112 height=25><INPUT style="MARGIN-TOP: 14px; FONT-SIZE: 12px; WIDTH: 100px; COLOR: #000000; BACKGROUND-COLOR: #fef7d4" type=password name=PASS> </TD><TD vAlign=top width=1> </TD></TR>
校验的脚本
var url = location.href;
function checkval()
{	var pos = url.indexOf("index.htm");url = url.substring(0,pos)+"base/check.chtml";form1.action = url;if(form1.USERNAME.value==""){alert("请输入用户名");form1.USERNAME.focus();return false;}  if (form1.PASS.value==""){alert("请输入密码");form1.PASS.focus();return false;}} 
效果

登录确认页

查询

<ESql module=base id=user>Select WE_ID,USERNAME,PASS,CNNAME,DEPT,ACL,PHOTO,PHONE,MOBILE,EMAIL,OICQ,MSN,ENROLLTIME From BASE_USERS Where USERNAME='@{pPage:USERNAME}'</ESql>
判断用户存在否,不存在则回到表单页
<if x="@{logic:@{user:getLength}=0}" else=1><we x=true><script>alert("用户:@{pPage:USERNAME} 尚未注册!");history.back();</script></we>... ...
</if>
判断密码正确不,不正确则回到表单页
	<if x="@{user:PASS}" else=1><we x="@{pPage:PASS}">... ...</we><script>alert("密码不对!");history.back();</script></if>
密码正确则登录成功,在会话记录用户的相关信息
			<session><we name=WE_ID>@{user:WE_ID}</we><we name=USERNAME>@{user:USERNAME}</we><we name=PASS>@{user:PASS}</we><we name=CNNAME>@{user:CNNAME}</we><we name=DEPT>@{user:DEPT}</we><we name=ACL>@{user:ACL}</we><we name=PHOTO>@{user:PHOTO}</we><we name=PHONE>@{user:PHONE}</we><we name=MOBILE>@{user:MOBILE}</we><we name=EMAIL>@{user:EMAIL}</we><we name=OICQ>@{user:OICQ}</we><we name=MSN>@{user:MSN}</we><we name=ENROLLTIME>@{user:ENROLLTIME}</we></session>
跳转到登录成功后的指定网页
<script>location.href='@{sys:face}@{pPage:url}';</script>
完整代码
<html>
<chtml>
<ESql module=base id=user>Select WE_ID,USERNAME,PASS,CNNAME,DEPT,ACL,PHOTO,PHONE,MOBILE,EMAIL,OICQ,MSN,ENROLLTIME From BASE_USERS Where USERNAME='@{pPage:USERNAME:}'</ESql>
<if x="@{logic:@{user:getLength}=0}" else=1><we x=true><script>alert("用户:@{pPage:USERNAME} 尚未注册!");history.back();</script></we><if x="@{user:PASS}" else=1><we x="@{pPage:PASS}"><session><we name=WE_ID>@{user:WE_ID}</we><we name=USERNAME>@{user:USERNAME}</we><we name=PASS>@{user:PASS}</we><we name=CNNAME>@{user:CNNAME}</we><we name=DEPT>@{user:DEPT}</we><we name=ACL>@{user:ACL}</we><we name=PHOTO>@{user:PHOTO}</we><we name=PHONE>@{user:PHONE}</we><we name=MOBILE>@{user:MOBILE}</we><we name=EMAIL>@{user:EMAIL}</we><we name=OICQ>@{user:OICQ}</we><we name=MSN>@{user:MSN}</we><we name=ENROLLTIME>@{user:ENROLLTIME}</we></session><script>location.href='@{sys:face}@{pPage:url}';</script></we><script>alert("密码不对!");history.back();</script></if>
</if>
</chtml>
</html>
若有不明白之处请在评论中提出,我会与大家一起深入讨论 微笑

轻开平台资源下载及说明

平台及最新开发手册免费下载:http://download.csdn.net/detail/tx18/8464425

开发实例:轻开B2C电子商务网站,免费下载:http://download.csdn.net/detail/tx18/8318585

轻开平台会不定期升级为大家提供更多强大而Easy的功能,请留意下载最新的版本

这篇关于session标签实例:简单的系统登录代码(巧妙地避开SQL注入攻击)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/945863

相关文章

MySQL 8 中的一个强大功能 JSON_TABLE示例详解

《MySQL8中的一个强大功能JSON_TABLE示例详解》JSON_TABLE是MySQL8中引入的一个强大功能,它允许用户将JSON数据转换为关系表格式,从而可以更方便地在SQL查询中处理J... 目录基本语法示例示例查询解释应用场景不适用场景1. ‌jsON 数据结构过于复杂或动态变化‌2. ‌性能要

Python实现MQTT通信的示例代码

《Python实现MQTT通信的示例代码》本文主要介绍了Python实现MQTT通信的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一... 目录1. 安装paho-mqtt库‌2. 搭建MQTT代理服务器(Broker)‌‌3. pytho

MySQL字符串常用函数详解

《MySQL字符串常用函数详解》本文给大家介绍MySQL字符串常用函数,本文结合实例代码给大家介绍的非常详细,对大家学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录mysql字符串常用函数一、获取二、大小写转换三、拼接四、截取五、比较、反转、替换六、去空白、填充MySQL字符串常用函数一、

如何使用Lombok进行spring 注入

《如何使用Lombok进行spring注入》本文介绍如何用Lombok简化Spring注入,推荐优先使用setter注入,通过注解自动生成getter/setter及构造器,减少冗余代码,提升开发效... Lombok为了开发环境简化代码,好处不用多说。spring 注入方式为2种,构造器注入和setter

MySQL中比较运算符的具体使用

《MySQL中比较运算符的具体使用》本文介绍了SQL中常用的符号类型和非符号类型运算符,符号类型运算符包括等于(=)、安全等于(=)、不等于(/!=)、大小比较(,=,,=)等,感兴趣的可以了解一下... 目录符号类型运算符1. 等于运算符=2. 安全等于运算符<=>3. 不等于运算符<>或!=4. 小于运

虚拟机Centos7安装MySQL数据库实践

《虚拟机Centos7安装MySQL数据库实践》用户分享在虚拟机安装MySQL的全过程及常见问题解决方案,包括处理GPG密钥、修改密码策略、配置远程访问权限及防火墙设置,最终通过关闭防火墙和停止Net... 目录安装mysql数据库下载wget命令下载MySQL安装包安装MySQL安装MySQL服务安装完成

MySQL进行数据库审计的详细步骤和示例代码

《MySQL进行数据库审计的详细步骤和示例代码》数据库审计通过触发器、内置功能及第三方工具记录和监控数据库活动,确保安全、完整与合规,Java代码实现自动化日志记录,整合分析系统提升监控效率,本文给大... 目录一、数据库审计的基本概念二、使用触发器进行数据库审计1. 创建审计表2. 创建触发器三、Java

MySQL逻辑删除与唯一索引冲突解决方案

《MySQL逻辑删除与唯一索引冲突解决方案》本文探讨MySQL逻辑删除与唯一索引冲突问题,提出四种解决方案:复合索引+时间戳、修改唯一字段、历史表、业务层校验,推荐方案1和方案3,适用于不同场景,感兴... 目录问题背景问题复现解决方案解决方案1.复合唯一索引 + 时间戳删除字段解决方案2:删除后修改唯一字

Zabbix在MySQL性能监控方面的运用及最佳实践记录

《Zabbix在MySQL性能监控方面的运用及最佳实践记录》Zabbix通过自定义脚本和内置模板监控MySQL核心指标(连接、查询、资源、复制),支持自动发现多实例及告警通知,结合可视化仪表盘,可有效... 目录一、核心监控指标及配置1. 关键监控指标示例2. 配置方法二、自动发现与多实例管理1. 实践步骤

使用Python构建一个高效的日志处理系统

《使用Python构建一个高效的日志处理系统》这篇文章主要为大家详细讲解了如何使用Python开发一个专业的日志分析工具,能够自动化处理、分析和可视化各类日志文件,大幅提升运维效率,需要的可以了解下... 目录环境准备工具功能概述完整代码实现代码深度解析1. 类设计与初始化2. 日志解析核心逻辑3. 文件处