主要的重點是 隱碼攻擊要在後端防 前端是防不了的 還有重點是有沒有作檢查 只限制收POST或GET沒有什麼關係 JSP也是可以對POST、GET或 其他選項分別作處理的 ASP收GET和POST的方式也不一樣 也是有可能被隱碼注射的 重 點是有沒有對字串作檢查 除了檢查字串有些SQL的寫法可能也是比較可以防這種東西的 像 "select password from table where ID='"+id+"'" 然後再把sql查到的密碼跟收到傳來的密碼比 應該就比 "select * from table where ID='"+id+" 'and password='"+password+"'" 安全 ※ 引述《PsMonkey (痞子軍團團長)》之銘言： : ※ 引述《TonyQ (骨頭)》之銘言： : : 難得痞子你也有離題的時候 XD : : 帳密通常是會用POST， : : 用get會讓變數顯示在網址上，而且還有長度255限制。 : : 我的問題不在於過程，而是在於接收的時候， : : request.getParameter(String) : : 只要名字對，不管你post或get都會收的啊 : : (就是說它用 action.jsp?xx='xxx' 這種賤招也會過...)XD : : 就算你form寫的method是POST，如果它來的根本就不是走form， : : 或者是它偷走別的form過來，跟是不是用POST關係不是那麼大。 : 好吧，那繼續離題... : （這是不良示範... 請忽略我的版主身分... [逃]） : 你會有這樣子的疑惑，那可能是你都用 jsp，所以會怕？ : Servlet 的話，你可以只 override doPost() 或是 doGet() : 這樣子，就沒有你的問題了 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.172.200.32 ※ 編輯: drkkimo 來自: 218.172.200.32 (07/28 03:22)