Html 不通过url节点传递值
我已经创建了一个登录系统,正在尝试散列密码,或者不通过url发送密码。我在前端有一个表单,它基本上接收用户输入,将其与数据库中存储的密码进行比较,如果相同,则只允许他们进入站点,如果不相同,则不允许。但是,它很容易通过url访问。如果密码正确,您可以在url中看到它。我想知道是否有办法避免这种情况发生?不知道是否有。提前谢谢 代码如下: 该网站尚未托管,因此无法共享,但以下是代码 前端:Html 不通过url节点传递值,html,node.js,express,authentication,ejs,Html,Node.js,Express,Authentication,Ejs,我已经创建了一个登录系统,正在尝试散列密码,或者不通过url发送密码。我在前端有一个表单,它基本上接收用户输入,将其与数据库中存储的密码进行比较,如果相同,则只允许他们进入站点,如果不相同,则不允许。但是,它很容易通过url访问。如果密码正确,您可以在url中看到它。我想知道是否有办法避免这种情况发生?不知道是否有。提前谢谢 代码如下: 该网站尚未托管,因此无法共享,但以下是代码 前端: <form method="GET" action="/login&q
<form method="GET" action="/login">
<div class="form-group">
<input type="text" class="form-control form-control-user" id="inputUsername" name="inputUsername" aria-describedby="emailHelp" placeholder="Enter Email Address...">
</div>
<div class="form-group">
<input type="password" class="form-control form-control-user" id="exampleInputPassword" name="inputPassword" placeholder="Password">
</div>
<div class="form-group">
<div class="custom-control custom-checkbox small">
<input type="checkbox" class="custom-control-input" id="customCheck">
<label class="custom-control-label" for="customCheck">Remember Me</label>
</div>
</div>
<button class="button" type="submit">SUBMIT</button>
<hr>
<a href="index.html" class="btn btn-google btn-user btn-block">
<i class="fab fa-google fa-fw"></i> Login with Google
</a>
<a href="index.html" class="btn btn-facebook btn-user btn-block">
<i class="fab fa-facebook-f fa-fw"></i> Login with Facebook
</a>
</form>
记得我吗
提交
app.get('/login', (req, res) => {
//declaring variables
const inputUsername = req.query.inputUsername;
const inputPassword = req.query.inputPassword;
var userLogin = "select * from login where USERNAME = '" + inputUsername + "' AND PASSWORD = '" + inputPassword + "'";
ibmdb.open(dbString, function (err, conn) {
if (err) return console.log(err);
conn.query(userLogin, function (err, rows) {
if (err) {
console.log(err)
}
if (rows.length > 0) {
console.log('trying to render index')
//userAuth = "true";
userName = inputUsername;
for (var i = 0; i < rows.length; i++) {
firstName = rows[i]['FN']
lastName = rows[i]['LN']
company = rows[i]['COMPANY']
}
res.redirect('/index')
} else {
// userAuth = "false";
res.render('login.ejs')
alert('Incorrect username or password. Please try again')
}
})
})
})
app.get('/login',(req,res)=>{
//声明变量
const inputUsername=req.query.inputUsername;
const inputPassword=req.query.inputPassword;
var userLogin=“从用户名='”+inputUsername+“'和密码='“+inputPassword+””的登录名中选择*;
open(dbString,function(err,conn){
if(err)返回console.log(err);
conn.query(userLogin,函数(err,行){
如果(错误){
console.log(错误)
}
如果(rows.length>0){
console.log('尝试呈现索引')
//userAuth=“true”;
用户名=输入用户名;
对于(变量i=0;i信息通过如下url传递:localhost:9999/login?inputUsername=testUser1&inputPassword=testPass1更改为POST请求 只需将
method=“GET”method=“POST”app.GET('/login',app.POST('/login',req.query.inputUsernamereq.body.inputUsername您还应该使用准备好的查询,就像您的脚本对sql注入开放一样。因此,将
where USERNAME='“+inputUsername+”where USERNAME=?conn.query(userLogin,[inputUsername,inputPassword],函数“cb&&cb(err,db);^TypeError:cb