Sql server 使用JSP进行用户验证
我正在使用HTML和JSP构建一个登录页面。但是每次我得到错误“username-incorrect”,当用户名与表不匹配时,应该显示为SQL server。以下是登录表单页面的代码:Sql server 使用JSP进行用户验证,sql-server,jsp,validation,Sql Server,Jsp,Validation,我正在使用HTML和JSP构建一个登录页面。但是每次我得到错误“username-incorrect”,当用户名与表不匹配时,应该显示为SQL server。以下是登录表单页面的代码: <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html> <html> <head> <meta http-eq
<%@ page language="java" contentType="text/html; charset=UTF-8"
pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Expense System</title>
<link rel="stylesheet" href="style.css" type="text/css">
</head>
<body>
<div class=form>
<form name = login method = post action = "login1.jsp">
Username : <input name = user type = text placeholder = username> <br><br>
Password : <input name = pass type = password placeholder = password><br><br>
<input type = submit value = "Submit">
<input type = button value = "Register">
</form>
</div>
</body>
</html>
费用体系
用户名:
密码:
<%@ page language="java" contentType="text/html; charse=UTF-8"
pageEncoding="UTF-8" import="java.sql.*"%>
<% Class.forName("com.microsoft.sqlserver.jdbc.SQLServerDriver"); %>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>login check</title>
</head>
<body>
<% String connectionUrl = "jdbc:sqlserver://localhost:1433;" +
"databaseName=signin;integratedSecurity=true;";
Connection con = DriverManager.getConnection(connectionUrl);
String uname = new String("");
String upass = new String("");
ResultSet resultset;
Statement statement = con.createStatement();
statement.executeQuery("select username, password from signintable");
resultset = statement.getResultSet();
while(resultset.next()){
uname = resultset.getString("username");
upass = resultset.getString("password");
}
if(!request.getParameter("user").equals("")){
if(uname.equals(request.getParameter("user"))){
if(upass.equals(request.getParameter("pass"))) {%>
<jsp:forward page="welcome.html"></jsp:forward>
<% }
else {
out.println("pass incorrect");
}
}
else {
out.println("username incorrect");
}
}
else { out.println("user not found!");
}
%>
</body>
</html>
登录检查
PreparedStatement=con.prepareStatement(“从SigningTable中选择id,其中用户名=?和密码=?”;
statement.setString(1,request.getParameter(“用户”);
语句.setString(2,request.getParameter(“pass”);
resultSet=statement.executeQuery();
if(resultset.next()){
//有效登录!
}否则{
//无效登录!
}
与具体问题无关,在JSP文件中编写Java代码是一项艰巨的任务。我建议你也在这方面努力。了解如何使用。您正在将整个数据库表拖到Java内存中,并将每一行的值赋给同一个变量。这些变量最终保存表最后一行的值 这是不对的。您需要准确地选择所需的行。将SQL查询更改为如下所示:
PreparedStatement=con.prepareStatement(“从SigningTable中选择id,其中用户名=?和密码=?”;
statement.setString(1,request.getParameter(“用户”);
语句.setString(2,request.getParameter(“pass”);
resultSet=statement.executeQuery();
if(resultset.next()){
//有效登录!
}否则{
//无效登录!
}
与具体问题无关,在JSP文件中编写Java代码是一项艰巨的任务。我建议你也在这方面努力。了解如何使用。如果您想要详细的视图,只需编写代码即可
if(!request.getParameter("user").equals("")) {
if(uname.equals(request.getParameter("user"))) {
if(upass.equals(request.getParameter("pass"))) {
out.println("found the user name ")
}
}
} else {
out.println("din't find it ");
}
您将观察到,在重复
“din't find it”“find the user name”if(!request.getParameter("user").equals("")) {
if(uname.equals(request.getParameter("user"))) {
if(upass.equals(request.getParameter("pass"))) {
out.println("found the user name ")
}
}
} else {
out.println("din't find it ");
}
您将注意到,在重复
“din't find it”“find the user name”WHERE字符串upass=新字符串(“”)总是可以避免的,因为您正在创建新的对象,而不是插入那些字符串,这是一种糟糕的做法。只需使用String uname=“”
和String upass=“”
。在本例中,您正在合并这些字符串对象。@MartinSmith我使用WHERE条件,但我能够成功运行我的程序。但我想做的是首先检查用户名,如果它是正确的,然后检查密码。o如何使用WHERE条件进行此操作。谢谢你的建议。我会记住这一点。你不应该显示用户名或密码是否不正确。这使得黑客很容易通过暴力手段猜出有效的用户名和/或密码。您应该只显示组合是否有效。每次有人登录时,将整个表返回并在应用程序中循环使用它不是一个好主意!您应该使用WHERE
条件来研究参数化查询,以便只选择感兴趣的特定行(如果存在)并对密码进行散列和字符串upass=新字符串(“”)总是可以避免的,因为您正在创建新的对象,而不是插入那些字符串,这是一种糟糕的做法。只需使用String uname=“”
和String upass=“”
。在本例中,您正在合并这些字符串对象。@MartinSmith我使用WHERE条件,但我能够成功运行我的程序。但我想做的是首先检查用户名,如果它是正确的,然后检查密码。o如何使用WHERE条件进行此操作。谢谢你的建议。我会记住这一点。你不应该显示用户名或密码是否不正确。这使得黑客很容易通过暴力手段猜出有效的用户名和/或密码。您应该只显示组合是否有效。谢谢您的建议。但是我很想知道我代码中的问题。你能告诉我问题出在哪里吗?第一段已经解释过了。假设DB返回超过1行。在循环中,
从每一行获取用户名/密码,并分配给循环外声明的变量。在每次循环迭代中,以前分配的值将被当前行的值覆盖。循环之后,变量保存最后一行的值。您正在对最后一行的值进行比较。不客气。既然你是新来的,请别忘了在答案有助于解决/理解问题的时候标记为已接受。另请参阅,谢谢您的建议。但是我很想知道我代码中的问题。你能告诉我问题出在哪里吗?第一段已经解释过了。假设DB返回超过1行。在循环中,
从每一行获取用户名/密码,并分配给循环外声明的变量。在每个循环上迭代