如何提高WEB系统的安全性
目前使用JSP做一个中型网站,对于安全性是程序员应该重点考虑的问题之一:
麻烦各位CSDN上的支招,大家探讨一下WEB比较常见的安全问题吧。
我先开个头,例如典型的SQL注入。
例如使用JSP直接JDBC 连接 oracle,登录时 使用:
String sql =" select * from area where login_name ='" + id + "' And passwd='" + pwd + "' ";
login_name指的是用户名
如果我们在 id文本框输入: test' or '1'='1,组装的SQL就变成了
String sql =" select * from area where login_name ='test' or '1'='1' And passwd='" + pwd + "' ";
大家注意红色字体处,这样就通过SQL注入绕开了用户名和密码验证。
楼下继续