session标签实例:简单的系统登录代码(巧妙地避开SQL注入攻击)

本文主要是介绍session标签实例:简单的系统登录代码(巧妙地避开SQL注入攻击),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

提交用户名和密码到服务器,以用户为条件查询用户记录,然后判断用户是不是已经注册,若注册就判断密码是否正确,正确则成功登录,在会话中记录用户的相关信息。查询中只以用户名为条件,让数据库从单列索引中快速找出匹配的用户记录,速度远快于同时使用用户名和密码作为条件的查询,而且还巧妙地避开了SQL注入攻击。

登录页

表单代码

              <FORM name=form1 action="" method=post οnsubmit="return checkval();"><input name=url value="base/index.html" type=hidden> <TR><TD align=right width=64 height=25>用户:</TD><TD vAlign=top width=112 height=25><INPUT style="FONT-SIZE: 12px; WIDTH: 100px; COLOR: #000000; BACKGROUND-COLOR: #fef7d4" name=USERNAME></TD><TD vAlign=top width=1> </TD></TR><TR><TD align=right width=64 height=25>密码:</TD><TD vAlign=top width=112 height=25><INPUT style="MARGIN-TOP: 14px; FONT-SIZE: 12px; WIDTH: 100px; COLOR: #000000; BACKGROUND-COLOR: #fef7d4" type=password name=PASS> </TD><TD vAlign=top width=1> </TD></TR>
校验的脚本
var url = location.href;
function checkval()
{	var pos = url.indexOf("index.htm");url = url.substring(0,pos)+"base/check.chtml";form1.action = url;if(form1.USERNAME.value==""){alert("请输入用户名");form1.USERNAME.focus();return false;}  if (form1.PASS.value==""){alert("请输入密码");form1.PASS.focus();return false;}} 
效果

登录确认页

查询

<ESql module=base id=user>Select WE_ID,USERNAME,PASS,CNNAME,DEPT,ACL,PHOTO,PHONE,MOBILE,EMAIL,OICQ,MSN,ENROLLTIME From BASE_USERS Where USERNAME='@{pPage:USERNAME}'</ESql>
判断用户存在否,不存在则回到表单页
<if x="@{logic:@{user:getLength}=0}" else=1><we x=true><script>alert("用户:@{pPage:USERNAME} 尚未注册!");history.back();</script></we>... ...
</if>
判断密码正确不,不正确则回到表单页
	<if x="@{user:PASS}" else=1><we x="@{pPage:PASS}">... ...</we><script>alert("密码不对!");history.back();</script></if>
密码正确则登录成功,在会话记录用户的相关信息
			<session><we name=WE_ID>@{user:WE_ID}</we><we name=USERNAME>@{user:USERNAME}</we><we name=PASS>@{user:PASS}</we><we name=CNNAME>@{user:CNNAME}</we><we name=DEPT>@{user:DEPT}</we><we name=ACL>@{user:ACL}</we><we name=PHOTO>@{user:PHOTO}</we><we name=PHONE>@{user:PHONE}</we><we name=MOBILE>@{user:MOBILE}</we><we name=EMAIL>@{user:EMAIL}</we><we name=OICQ>@{user:OICQ}</we><we name=MSN>@{user:MSN}</we><we name=ENROLLTIME>@{user:ENROLLTIME}</we></session>
跳转到登录成功后的指定网页
<script>location.href='@{sys:face}@{pPage:url}';</script>
完整代码
<html>
<chtml>
<ESql module=base id=user>Select WE_ID,USERNAME,PASS,CNNAME,DEPT,ACL,PHOTO,PHONE,MOBILE,EMAIL,OICQ,MSN,ENROLLTIME From BASE_USERS Where USERNAME='@{pPage:USERNAME:}'</ESql>
<if x="@{logic:@{user:getLength}=0}" else=1><we x=true><script>alert("用户:@{pPage:USERNAME} 尚未注册!");history.back();</script></we><if x="@{user:PASS}" else=1><we x="@{pPage:PASS}"><session><we name=WE_ID>@{user:WE_ID}</we><we name=USERNAME>@{user:USERNAME}</we><we name=PASS>@{user:PASS}</we><we name=CNNAME>@{user:CNNAME}</we><we name=DEPT>@{user:DEPT}</we><we name=ACL>@{user:ACL}</we><we name=PHOTO>@{user:PHOTO}</we><we name=PHONE>@{user:PHONE}</we><we name=MOBILE>@{user:MOBILE}</we><we name=EMAIL>@{user:EMAIL}</we><we name=OICQ>@{user:OICQ}</we><we name=MSN>@{user:MSN}</we><we name=ENROLLTIME>@{user:ENROLLTIME}</we></session><script>location.href='@{sys:face}@{pPage:url}';</script></we><script>alert("密码不对!");history.back();</script></if>
</if>
</chtml>
</html>
若有不明白之处请在评论中提出,我会与大家一起深入讨论 微笑

轻开平台资源下载及说明

平台及最新开发手册免费下载:http://download.csdn.net/detail/tx18/8464425

开发实例:轻开B2C电子商务网站,免费下载:http://download.csdn.net/detail/tx18/8318585

轻开平台会不定期升级为大家提供更多强大而Easy的功能,请留意下载最新的版本

这篇关于session标签实例:简单的系统登录代码(巧妙地避开SQL注入攻击)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/945863

相关文章

MySQL 中的 CAST 函数详解及常见用法

《MySQL中的CAST函数详解及常见用法》CAST函数是MySQL中用于数据类型转换的重要函数,它允许你将一个值从一种数据类型转换为另一种数据类型,本文给大家介绍MySQL中的CAST... 目录mysql 中的 CAST 函数详解一、基本语法二、支持的数据类型三、常见用法示例1. 字符串转数字2. 数字

Mysql实现范围分区表(新增、删除、重组、查看)

《Mysql实现范围分区表(新增、删除、重组、查看)》MySQL分区表的四种类型(范围、哈希、列表、键值),主要介绍了范围分区的创建、查询、添加、删除及重组织操作,具有一定的参考价值,感兴趣的可以了解... 目录一、mysql分区表分类二、范围分区(Range Partitioning1、新建分区表:2、分

MySQL 定时新增分区的实现示例

《MySQL定时新增分区的实现示例》本文主要介绍了通过存储过程和定时任务实现MySQL分区的自动创建,解决大数据量下手动维护的繁琐问题,具有一定的参考价值,感兴趣的可以了解一下... mysql创建好分区之后,有时候会需要自动创建分区。比如,一些表数据量非常大,有些数据是热点数据,按照日期分区MululbU

SQL Server配置管理器无法打开的四种解决方法

《SQLServer配置管理器无法打开的四种解决方法》本文总结了SQLServer配置管理器无法打开的四种解决方法,文中通过图文示例介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的... 目录方法一:桌面图标进入方法二:运行窗口进入检查版本号对照表php方法三:查找文件路径方法四:检查 S

MySQL 删除数据详解(最新整理)

《MySQL删除数据详解(最新整理)》:本文主要介绍MySQL删除数据的相关知识,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录一、前言二、mysql 中的三种删除方式1.DELETE语句✅ 基本语法: 示例:2.TRUNCATE语句✅ 基本语

MySQL中查找重复值的实现

《MySQL中查找重复值的实现》查找重复值是一项常见需求,比如在数据清理、数据分析、数据质量检查等场景下,我们常常需要找出表中某列或多列的重复值,具有一定的参考价值,感兴趣的可以了解一下... 目录技术背景实现步骤方法一:使用GROUP BY和HAVING子句方法二:仅返回重复值方法三:返回完整记录方法四:

从入门到精通MySQL联合查询

《从入门到精通MySQL联合查询》:本文主要介绍从入门到精通MySQL联合查询,本文通过实例代码给大家介绍的非常详细,需要的朋友可以参考下... 目录摘要1. 多表联合查询时mysql内部原理2. 内连接3. 外连接4. 自连接5. 子查询6. 合并查询7. 插入查询结果摘要前面我们学习了数据库设计时要满

MySQL查询JSON数组字段包含特定字符串的方法

《MySQL查询JSON数组字段包含特定字符串的方法》在MySQL数据库中,当某个字段存储的是JSON数组,需要查询数组中包含特定字符串的记录时传统的LIKE语句无法直接使用,下面小编就为大家介绍两种... 目录问题背景解决方案对比1. 精确匹配方案(推荐)2. 模糊匹配方案参数化查询示例使用场景建议性能优

mysql表操作与查询功能详解

《mysql表操作与查询功能详解》本文系统讲解MySQL表操作与查询,涵盖创建、修改、复制表语法,基本查询结构及WHERE、GROUPBY等子句,本文结合实例代码给大家介绍的非常详细,感兴趣的朋友跟随... 目录01.表的操作1.1表操作概览1.2创建表1.3修改表1.4复制表02.基本查询操作2.1 SE

MySQL中的锁机制详解之全局锁,表级锁,行级锁

《MySQL中的锁机制详解之全局锁,表级锁,行级锁》MySQL锁机制通过全局、表级、行级锁控制并发,保障数据一致性与隔离性,全局锁适用于全库备份,表级锁适合读多写少场景,行级锁(InnoDB)实现高并... 目录一、锁机制基础:从并发问题到锁分类1.1 并发访问的三大问题1.2 锁的核心作用1.3 锁粒度分