做项目如何解决url注入问题?有哪些方案?
比如查看短信息,每个人都有权限
aa.do?method=find&id=1
如果用户改为
aa.do?method=find&id=2
就可看到不是他的信息了
一个应用有很多个包
如
view/aa
view/bb
view/cc
如果用户直接输入http://localhost:8080/**/view/cc就进入了项目列表了
是不是要每个包中放一个index.jsp什么的?有没有好的办法
做项目如何解决url注入问题?有哪些方案?
比如查看短信息,每个人都有权限
aa.do?method=find&id=1
如果用户改为
aa.do?method=find&id=2
就可看到不是他的信息了
一个应用有很多个包
如
view/aa
view/bb
view/cc
如果用户直接输入http://localhost:8080/**/view/cc就进入了项目列表了
是不是要每个包中放一个index.jsp什么的?有没有好的办法
一般情况下我们的解决方法就是把用户的id存入session中。
并在显示短信时与短信的收件人id进行比对。
比如
[code="sql"]
//数据库查询
List list = query("select 标题,内容 from 短信表 where 收件人id = 用户id").list();
if(list.size==0){
//没有权限
}else{
//显示页面
}
[/code]