※ 引述《wildrush (来跳土风舞吧)》之铭言： : : 没code没真象 : : ps. 有trim了吗 : 那是什麽@@?? : 底下是CODE : <% : String uid = request.getParameter("user"); : String pwd = : new String(request.getParameter("password").getBytes("ISO-8859-1")); : Class.forName("net.sourceforge.jtds.jdbc.Driver"); [---------------------------------] 这是那一个db, 真特别, 好奇ing ps. 有的jdbc driver并不会自动实体化 必要时newInstance()一下 (以您的手册为准^^) : Connection con = : DriverManager.getConnection("jdbc:jtds:sqlserver://localhost:1433/justRADIO"); : Statement st1 = con.createStatement(); : String sql1 ="select * from member where nember like '"+uid+"'"; [--------------------------------------------------------------] 呃, 改用prepared statement吧 : ResultSet rs = st1.executeQuery(sql1); [--] 没检查uid的合法性就丢进去了, 留给人攻击就是了 (最後的版本记得加啊^^) : rs.next(); [-------] 唔, 你怎麽知道.next一定有东西, 或一定只有一个并且第一个是你要的 : String check = : new String(rs.getString("password").getBytes("ISO-8859-1")); : if (rs != null ) [--------] rs说: 与我何干啊@@" 俺是无辜的 : { : if(check.equals(pwd)) : { : out.print("欢迎登入 "+uid); : }else : { : out.print("密码错误<br>请重新输入<BR>你输入的是<br>帐号:"+uid+"<br>密码:"+pwd); : out.print("<br>"+rs.getString("password")); : } : } : st1.close(); : con.close(); : %> --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 163.26.34.214