27,580
社区成员
发帖
与我相关
我的任务
分享这样的逻辑大家如何处理
要判断用户名和密码是否正确,如果不正确判断用户是否存在,这样的逻辑大家是先判断用户是否存在呢还是先判断用户名和密码是否正确?
...全文
请发表友善的回复…
发表回复
sue_1018 2009-07-31
- 打赏
- 举报
[Quote=引用 3 楼 jinjazz 的回复:]
不要判断是否存在,否则会被人利用。只判断一次用户名和密码是否匹配,错误信息这样提示
-----------
你输入的帐户不存在或者密码不正确。
[/Quote]
是这个意思
不要判断是否存在,否则会被人利用。只判断一次用户名和密码是否匹配,错误信息这样提示
-----------
你输入的帐户不存在或者密码不正确。
[/Quote]
是这个意思
souperstar 2009-07-31
- 打赏
- 举报
[Quote=引用 3 楼 jinjazz 的回复:]
不要判断是否存在,否则会被人利用。只判断一次用户名和密码是否匹配,错误信息这样提示
-----------
你输入的帐户不存在或者密码不正确。
[/Quote]
支持
不要判断是否存在,否则会被人利用。只判断一次用户名和密码是否匹配,错误信息这样提示
-----------
你输入的帐户不存在或者密码不正确。
[/Quote]
支持
tim_spac 2009-07-30
- 打赏
- 举报
在前台判断返回值,根据安全需求或其他需求选择提示:
"你输入的帐户不存在或者密码不正确"
|
"用户不存在" or "密码错误"
"你输入的帐户不存在或者密码不正确"
|
"用户不存在" or "密码错误"
tim_spac 2009-07-30
- 打赏
- 举报
create procedure proc_checklogin(@name varchar(32), @pwd varchar(32))
as begin
select @password=password from login where name=@name
if @password is null
return -1 -- not exists the name
if @pwd!=@password
return -2 -- the password is not correct
return 0
end
xuejie09242 2009-07-30
- 打赏
- 举报
剪刀有道理 ,不过呢,话分两面说,如果是需要监控登录,需要记录登录的情况,就需要检查了。
先要检查用户 名,然后再查密码。对外还是上面 的提示,可内部呢,你要䏳明白是 帐户名不存在,还是密码错误。
这大概就是信息隐藏吧。
先要检查用户 名,然后再查密码。对外还是上面 的提示,可内部呢,你要䏳明白是 帐户名不存在,还是密码错误。
这大概就是信息隐藏吧。
zwzw911 2009-07-30
- 打赏
- 举报
其实应该无所谓的,无论是先判断用户是否存在还是先判断匹配,关键是显示的信息要象剪刀说的那样“你输入的帐户不存在或者密码不正确。”,这样可以防止恶意用户猜测你程序的判断逻辑,防止SQL注入等攻击。
C_SuperMe 2009-07-30
- 打赏
- 举报
[Quote=引用 8 楼 meheartfly 的回复:]
判断用户名和密码匹配的记录是否存在就可以,不用整这么麻烦
[/Quote]因为这里要对不存在的用户做个特殊处理
判断用户名和密码匹配的记录是否存在就可以,不用整这么麻烦
[/Quote]因为这里要对不存在的用户做个特殊处理
zjybushiren88888 2009-07-30
- 打赏
- 举报
剪刀哥说的很深刻.
meheartfly 2009-07-30
- 打赏
- 举报
判断用户名和密码匹配的记录是否存在就可以,不用整这么麻烦
C_SuperMe 2009-07-30
- 打赏
- 举报
那看来是要先判断存在在判断是否正确了。
feixianxxx 2009-07-30
- 打赏
- 举报
[Quote=引用 3 楼 jinjazz 的回复:]
不要判断是否存在,否则会被人利用。只判断一次用户名和密码是否匹配,错误信息这样提示
-----------
你输入的帐户不存在或者密码不正确。
[/Quote]
HOHO..
果然是剪刀 学习了。。
单从逻辑上来说 是应该坚持存在与否
不过安全上来说 就是剪刀说的了
不要判断是否存在,否则会被人利用。只判断一次用户名和密码是否匹配,错误信息这样提示
-----------
你输入的帐户不存在或者密码不正确。
[/Quote]
HOHO..
果然是剪刀 学习了。。
单从逻辑上来说 是应该坚持存在与否
不过安全上来说 就是剪刀说的了
guguda2008 2009-07-30
- 打赏
- 举报
[Quote=引用 3 楼 jinjazz 的回复:]
不要判断是否存在,否则会被人利用。只判断一次用户名和密码是否匹配,错误信息这样提示
-----------
你输入的帐户不存在或者密码不正确。
[/Quote]
就是剪刀哥说的这样了
不要判断是否存在,否则会被人利用。只判断一次用户名和密码是否匹配,错误信息这样提示
-----------
你输入的帐户不存在或者密码不正确。
[/Quote]
就是剪刀哥说的这样了
水族杰纶 2009-07-30
- 打赏
- 举报
我一般同時將密碼與帳戶作為查詢條件
如果沒有紀錄返回
就提示用户名或密码錯誤
如果沒有紀錄返回
就提示用户名或密码錯誤
jinjazz 2009-07-30
- 打赏
- 举报
不要判断是否存在,否则会被人利用。只判断一次用户名和密码是否匹配,错误信息这样提示
-----------
你输入的帐户不存在或者密码不正确。
-----------
你输入的帐户不存在或者密码不正确。
feixianxxx 2009-07-30
- 打赏
- 举报
先判断 是否存在呗u
不存在 还查什么用户名密码正确与否
不存在 还查什么用户名密码正确与否
华夏小卒 2009-07-30
- 打赏
- 举报
我觉得应该先判断存在,再比较对错吧
飞驴 2009-07-30
- 打赏
- 举报
同时判断不就行了,不存在当然不正确,如果要分开提示,应该是先不存在吧,再进行是否正确
