主要的重点是 隐码攻击要在後端防 前端是防不了的 还有重点是有没有作检查 只限制收POST或GET没有什麽关系 JSP也是可以对POST、GET或 其他选项分别作处理的 ASP收GET和POST的方式也不一样 也是有可能被隐码注射的 重 点是有没有对字串作检查 除了检查字串有些SQL的写法可能也是比较可以防这种东西的 像 "select password from table where ID='"+id+"'" 然後再把sql查到的密码跟收到传来的密码比 应该就比 "select * from table where ID='"+id+" 'and password='"+password+"'" 安全 ※ 引述《PsMonkey (痞子军团团长)》之铭言： : ※ 引述《TonyQ (骨头)》之铭言： : : 难得痞子你也有离题的时候 XD : : 帐密通常是会用POST， : : 用get会让变数显示在网址上，而且还有长度255限制。 : : 我的问题不在於过程，而是在於接收的时候， : : request.getParameter(String) : : 只要名字对，不管你post或get都会收的啊 : : (就是说它用 action.jsp?xx='xxx' 这种贱招也会过...)XD : : 就算你form写的method是POST，如果它来的根本就不是走form， : : 或者是它偷走别的form过来，跟是不是用POST关系不是那麽大。 : 好吧，那继续离题... : （这是不良示范... 请忽略我的版主身分... [逃]） : 你会有这样子的疑惑，那可能是你都用 jsp，所以会怕？ : Servlet 的话，你可以只 override doPost() 或是 doGet() : 这样子，就没有你的问题了 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.172.200.32 ※ 编辑: drkkimo 来自: 218.172.200.32 (07/28 03:22)