※ 引述《PsMonkey (痞子军团团长)》之铭言： : ※ 引述《TonyQ (骨头)》之铭言： : 通常需要担心这种东西的 : 大部分是帐号密码之类的（当然其他的也不是不用顾虑啦） : 简单地说，这个时候用 POST 比较好 : （绝大多数时候，POST 都比较好） : 不过，这已经离开这个版的讨论范围了 难得痞子你也有离题的时候 XD 帐密通常是会用POST， 用get会让变数显示在网址上，而且还有长度255限制。 我的问题不在於过程，而是在於接收的时候， request.getParameter(String) 只要名字对，不管你post或get都会收的啊 (就是说它用 action.jsp?xx='xxx' 这种贱招也会过...)XD 就算你form写的method是POST，如果它来的根本就不是走form， 或者是它偷走别的form过来，跟是不是用POST关系不是那麽大。 这串好像都没有看到SQL Injection比较经典的案例， 通常会有人在呼吁不是应该都是因为有惨痛的经验吗？ XD 还有所谓的前端处理(也就是JavaScript)，这东西应该是不可靠的。 不管是恶意偷走别的form过来，或者是用url走GET， JavaScript好像都拿他们没办法XD。 驻：所谓的偷走别的form，指的是hacker自己设计一个form， action指向实际的目标页，透过跨站submit的方式连结。 -- 不过真是受教了 那时候 \' '\ \\' 试了半天...就没想到是'' 囧 学艺不精 真是见笑了 -- String temp="relax"; | Life just like programing while(buringlife) String.forgot(temp); | to be right or wrong while(sleeping) brain.setMemoryOut(); | need not to say stack.push(life.running); | the complier will stack.push(scouting.buck()); | answer your life stack.push(bowling.pratice()); | Bone everything --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.138.240.58 ※ 编辑: TonyQ 来自: 140.138.240.58 (07/27 04:29)