JSP开发者要万万小心的数据范围漏洞
不知是很多教科书的懒惰还是其他什么,总之JSP中的数据定义方式的变量范围被忽略了。近日的调试才发现这个非常严重的问题。大家一起研究一下,因为这绝对是个严重的不能再严重的问题了。
JSP中有两种定义变量的方式,一种是"<%! ... %>"方式,另一种是"<% ... %>"方式。估计几乎所有的教科书上都是写<%! ... %>这种定义方式,(by gashero)而大家也就忽略了后一种方式,实际山他们有着非常大的区别,就是在于变量的定义域。查看JSP生成的Servlet代码可以看到,在<%! ... %>方式生成的变量定义是作为Servlet的默认成员变量,即没有public/private等等修饰的成员变量,作用范围是page。而在<% ... %>中定义的变量则是在Servlet的一个方法中作为局部变量定义的。正是因为这么一点区别就可以造成非常严重的错误。
page变量的作用范围是页面,不仅仅一个用户每次访问这个页面都可以相同的变量值。不同用户、甚至不在同一台电脑所上的人,访问这些变量的时候得到的变量值也都相同。所以如果没有太在意,(by gashero)使用了page变量来保存登录信息一类的数据,大家可就都爽了。任何人登录进来都可以做他想做的任何事情。
而使用<% ... %>方式定义的变量则不会有这个问题,即使同一用户在不同时间、不同窗口访问同一个页面,得到的结果也不同。
下面有一个例子,大家可以用Tomcat测试一下。就可以知道这个<%! ... %>所定义的page变量的能量了。程序中为了简化设计没有进行编码转换,具体可以参考我的一篇关于Tomcat编码的帖子。
<%@ page language="java" contentType="text/html; charset=GBK" pageEncoding="GBK" %>
<%!
String username="";
String password="";
%>
<%
username=request.getParameter("username");
password=request.getParameter("password"); // by gashero
if(username==null) {
username="";
}
if(password==null) {
password="";
}
%>
<html><body>
Username=<%=username %><br>
Password=<%=password %><br>
<br>
<form method="POST" action="test.jsp">
username:<input type="text" name="username"><br>
password:<input type="password" name="password"><br>
<input type="submit" value="提交">
</form>
</body></html>
这是一个再简单不过的提交表单,读者可以自己试着提交一次数据,然后另外开一个浏览器页面,再次查看相同的URL,会发现用户名和密码还好好的在那里显示着。可以试着换一个浏览器,看看,(by gashero)用户名和密码还在那里。再换一台电脑试试,用户名和密码还在。
这是很多JSP书籍所忽略的一个问题,相信很多JSP初学者也会在这里栽跟头,但愿本文对大家有用。