cyh_it 2009-02-04 10:24
浏览 279
已采纳

url注入

做项目如何解决url注入问题?有哪些方案?
比如查看短信息,每个人都有权限
aa.do?method=find&id=1
如果用户改为
aa.do?method=find&id=2
就可看到不是他的信息了

一个应用有很多个包

view/aa
view/bb
view/cc
如果用户直接输入http://localhost:8080/**/view/cc就进入了项目列表了
是不是要每个包中放一个index.jsp什么的?有没有好的办法

  • 写回答

3条回答 默认 最新

  • iteye_10467 2009-02-04 13:36
    关注

    一般情况下我们的解决方法就是把用户的id存入session中。
    并在显示短信时与短信的收件人id进行比对。

    比如

    [code="sql"]
    //数据库查询
    List list = query("select 标题,内容 from 短信表 where 收件人id = 用户id").list();

    if(list.size==0){
    //没有权限
    }else{
    //显示页面
    }

    [/code]

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(2条)

报告相同问题?

悬赏问题

  • ¥15 求差集那个函数有问题,有无佬可以解决
  • ¥15 【提问】基于Invest的水源涵养
  • ¥20 微信网友居然可以通过vx号找到我绑的手机号
  • ¥15 寻一个支付宝扫码远程授权登录的软件助手app
  • ¥15 解riccati方程组
  • ¥15 display:none;样式在嵌套结构中的已设置了display样式的元素上不起作用?
  • ¥15 使用rabbitMQ 消息队列作为url源进行多线程爬取时,总有几个url没有处理的问题。
  • ¥15 Ubuntu在安装序列比对软件STAR时出现报错如何解决
  • ¥50 树莓派安卓APK系统签名
  • ¥65 汇编语言除法溢出问题