请问JSP+SERVLET+EJBCLIENT+SESSIONBEAN的系统中要注意哪些安全与性能问题! sessionbean最好用无状态的,servlet和ejb之间加上一层代理 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 用struts框架,绝对不用有状态的sessionBean。安全范围太广了,每个页面(或struts的action)前检验session, 注意防止sql注入性能 要好的服务器吧,java的性能主要靠服务器强健,自己代码只要不是太滥对性能影响不大。 哈!怎么防止SQL注入?请高手发言!还有是否每个页面加上SESSION值判断就OK了吗?比如,用户登陆正确就朝SESSION里面设置一个特殊值,以后每个页面通过判断这个SESSION值来判断是否有权限访问???????????是这样的吗? sql注入主要是防止输入数据拼成sql语句时,破坏了sql语句,例如 "select count(*) from user='" + username +"' and password='" + password + "'"如果username 或密码写成 (' and ''=')就会跳过密码校验,更严重的是可以调用系统存储过程破坏系统,主要防范是防止 输入项中包含 单引号和分号。session的说法没错,不过你要更细致的权限控制,就要在session中保存 角色信息或拥有的权限代码列表 想要把sessionbean做的更好可以在上层做个Facade来隐藏后端以便更好在servlet来调用,当然要做层次清晰可以做到模块化的封装(Delegate类) 哈!我觉得我的应该不会出现!因为我在JSP里面做了数据验证,也就是说不可能有那么长的SQL语句!不过怎么大家对这个问题都没什么兴趣呢?是不是分少了!!!!我加分可以吗?EJB里面有什么安全?我讲的是代码内的,当然大家也可以谈服务器设置,我用的是WEBLOGIC Oracle高手进入帮忙解决个奇怪的问题 使用XmlHttpRequest请求Serlvlet的一个小错误,麻烦各位给看看! struts表单提交中文乱码 数据优化的问题 哪位有 InstallAnywhere7.1 的安装包 给一个,不胜感激。 struts中ActionForm的问题 (上传多文件) 请教如何用struts开发网站?来者有分 关于serlvet的问题 Jboss-3.2.1 该如何启动 ?? 想从一个XML文件中读出我想要的数据,可是不知该怎么用?不要遍历文件树,只需要分别提取指定的数据,使用DOM技术,谁能给我一个例子,指 j2ee开发 struts变量传递问题。
安全范围太广了,每个页面(或struts的action)前检验session, 注意防止sql注入
性能 要好的服务器吧,java的性能主要靠服务器强健,自己代码只要不是太滥对性能影响不大。
比如,用户登陆正确就朝SESSION里面设置一个特殊值,以后每个页面通过判断这个SESSION值来判断是否有权限访问???????????是这样的吗?
例如
"select count(*) from user='" + username +"' and password='" + password + "'"
如果username 或密码写成 (' and ''=')就会跳过密码校验,更严重的是可以调用系统存储过程破坏系统,主要防范是防止 输入项中包含 单引号和分号。
session的说法没错,不过你要更细致的权限控制,就要在session中保存 角色信息或拥有的权限代码列表