做项目如何解决url注入问题?有哪些方案?
比如查看短信息,每个人都有权限
aa.do?method=find&id=1
如果用户改为
aa.do?method=find&id=2
就可看到不是他的信息了
一个应用有很多个包
如
view/aa
view/bb
view/cc
如果用户直接输入http://localhost:8080/**/view/cc就进入了项目列表了
是不是要每个包中放一个index.jsp什么的?有没有好的办法
一般情况下我们的解决方法就是把用户的id存入session中。
并在显示短信时与短信的收件人id进行比对。
比如
[code="sql"]
//数据库查询
List list = query("select 标题,内容 from 短信表 where 收件人id = 用户id").list();
if(list.size==0){
//没有权限
}else{
//显示页面
}
[/code]
登录的时候,登录用户和这个ID有什么关系?在操作之前先检查一次。或者一次吧这个用户可以查询的ID保存到list或set中,访问的时候判断。这个肯定是要在服务器段判断了。前台用户怎么玩都行。
你可以用过滤器,spring的拦截器做,可以加到aa.do的父类中去,默认检查权限。或者你也可以一个一个的控制。。。
这个地址: aa.do?method=find&id=1
后台就不从这里去取咯,既然是看用户信息,就根据当前登陆的用户去取嘛.