JSP开发者要万万小心的数据范围漏洞

王朝java/jsp·作者佚名  2006-10-25
窄屏简体版  字體: |||超大  

JSP开发者要万万小心的数据范围漏洞

不知是很多教科书的懒惰还是其他什么,总之JSP中的数据定义方式的变量范围被忽略了。近日的调试才发现这个非常严重的问题。大家一起研究一下,因为这绝对是个严重的不能再严重的问题了。

JSP中有两种定义变量的方式,一种是"<%! ... %>"方式,另一种是"<% ... %>"方式。估计几乎所有的教科书上都是写<%! ... %>这种定义方式,(by gashero)而大家也就忽略了后一种方式,实际山他们有着非常大的区别,就是在于变量的定义域。查看JSP生成的Servlet代码可以看到,在<%! ... %>方式生成的变量定义是作为Servlet的默认成员变量,即没有public/private等等修饰的成员变量,作用范围是page。而在<% ... %>中定义的变量则是在Servlet的一个方法中作为局部变量定义的。正是因为这么一点区别就可以造成非常严重的错误。

page变量的作用范围是页面,不仅仅一个用户每次访问这个页面都可以相同的变量值。不同用户、甚至不在同一台电脑所上的人,访问这些变量的时候得到的变量值也都相同。所以如果没有太在意,(by gashero)使用了page变量来保存登录信息一类的数据,大家可就都爽了。任何人登录进来都可以做他想做的任何事情。

而使用<% ... %>方式定义的变量则不会有这个问题,即使同一用户在不同时间、不同窗口访问同一个页面,得到的结果也不同。

下面有一个例子,大家可以用Tomcat测试一下。就可以知道这个<%! ... %>所定义的page变量的能量了。程序中为了简化设计没有进行编码转换,具体可以参考我的一篇关于Tomcat编码的帖子。

<%@ page language="java" contentType="text/html; charset=GBK" pageEncoding="GBK" %>

<%!

String username="";

String password="";

%>

<%

username=request.getParameter("username");

password=request.getParameter("password"); // by gashero

if(username==null) {

username="";

}

if(password==null) {

password="";

}

%>

<html><body>

Username=<%=username %><br>

Password=<%=password %><br>

<br>

<form method="POST" action="test.jsp">

username:<input type="text" name="username"><br>

password:<input type="password" name="password"><br>

<input type="submit" value="提交">

</form>

</body></html>

这是一个再简单不过的提交表单,读者可以自己试着提交一次数据,然后另外开一个浏览器页面,再次查看相同的URL,会发现用户名和密码还好好的在那里显示着。可以试着换一个浏览器,看看,(by gashero)用户名和密码还在那里。再换一台电脑试试,用户名和密码还在。

这是很多JSP书籍所忽略的一个问题,相信很多JSP初学者也会在这里栽跟头,但愿本文对大家有用。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航