标签:session标签 用户登录 sql注入 web开发 密码检验
提交用户名和密码到服务器,以用户为条件查询用户记录,然后判断用户是不是已经注册,若注册就判断密码是否正确,正确则成功登录,在会话中记录用户的相关信息。查询中只以用户名为条件,让数据库从单列索引中快速找出匹配的用户记录,速度远快于同时使用用户名和密码作为条件的查询,而且还巧妙地避开了SQL注入攻击。
登录页
表单代码
<FORM name=form1 action="" method=post onsubmit="return checkval();">
<input name=url value="base/index.html" type=hidden>
<TR>
<TD align=right width=64 height=25>用户:</TD>
<TD vAlign=top width=112 height=25><INPUT
style="FONT-SIZE: 12px; WIDTH: 100px; COLOR: #000000; BACKGROUND-COLOR: #fef7d4"
name=USERNAME></TD>
<TD vAlign=top width=1> </TD></TR>
<TR>
<TD align=right width=64 height=25>密码:</TD>
<TD vAlign=top width=112 height=25><INPUT
style="MARGIN-TOP: 14px; FONT-SIZE: 12px; WIDTH: 100px; COLOR: #000000; BACKGROUND-COLOR: #fef7d4"
type=password name=PASS> </TD>
<TD vAlign=top width=1> </TD></TR>校验的脚本var url = location.href;
function checkval()
{
var pos = url.indexOf("index.htm");
url = url.substring(0,pos)+"base/check.chtml";
form1.action = url;
if(form1.USERNAME.value=="")
{
alert("请输入用户名");
form1.USERNAME.focus();
return false;
}
if (form1.PASS.value=="")
{
alert("请输入密码");
form1.PASS.focus();
return false;
}
} 效果
登录确认页
查询
<ESql module=base id=user>Select WE_ID,USERNAME,PASS,CNNAME,DEPT,ACL,PHOTO,PHONE,MOBILE,EMAIL,OICQ,MSN,ENROLLTIME From BASE_USERS Where USERNAME='@{pPage:USERNAME}'</ESql>判断用户存在否,不存在则回到表单页<if x="@{logic:@{user:getLength}=0}" else=1>
<we x=true>
<script>alert("用户:@{pPage:USERNAME} 尚未注册!");history.back();</script>
</we>
... ...
</if>判断密码正确不,不正确则回到表单页 <if x="@{user:PASS}" else=1>
<we x="@{pPage:PASS}">
... ...
</we>
<script>alert("密码不对!");history.back();</script>
</if>密码正确则登录成功,在会话记录用户的相关信息 <session>
<we name=WE_ID>@{user:WE_ID}</we>
<we name=USERNAME>@{user:USERNAME}</we>
<we name=PASS>@{user:PASS}</we>
<we name=CNNAME>@{user:CNNAME}</we>
<we name=DEPT>@{user:DEPT}</we>
<we name=ACL>@{user:ACL}</we>
<we name=PHOTO>@{user:PHOTO}</we>
<we name=PHONE>@{user:PHONE}</we>
<we name=MOBILE>@{user:MOBILE}</we>
<we name=EMAIL>@{user:EMAIL}</we>
<we name=OICQ>@{user:OICQ}</we>
<we name=MSN>@{user:MSN}</we>
<we name=ENROLLTIME>@{user:ENROLLTIME}</we>
</session>跳转到登录成功后的指定网页<script>location.href='@{sys:face}@{pPage:url}';</script>完整代码<html>
<chtml>
<ESql module=base id=user>Select WE_ID,USERNAME,PASS,CNNAME,DEPT,ACL,PHOTO,PHONE,MOBILE,EMAIL,OICQ,MSN,ENROLLTIME From BASE_USERS Where USERNAME='@{pPage:USERNAME:}'</ESql>
<if x="@{logic:@{user:getLength}=0}" else=1>
<we x=true>
<script>alert("用户:@{pPage:USERNAME} 尚未注册!");history.back();</script>
</we>
<if x="@{user:PASS}" else=1>
<we x="@{pPage:PASS}">
<session>
<we name=WE_ID>@{user:WE_ID}</we>
<we name=USERNAME>@{user:USERNAME}</we>
<we name=PASS>@{user:PASS}</we>
<we name=CNNAME>@{user:CNNAME}</we>
<we name=DEPT>@{user:DEPT}</we>
<we name=ACL>@{user:ACL}</we>
<we name=PHOTO>@{user:PHOTO}</we>
<we name=PHONE>@{user:PHONE}</we>
<we name=MOBILE>@{user:MOBILE}</we>
<we name=EMAIL>@{user:EMAIL}</we>
<we name=OICQ>@{user:OICQ}</we>
<we name=MSN>@{user:MSN}</we>
<we name=ENROLLTIME>@{user:ENROLLTIME}</we>
</session>
<script>location.href='@{sys:face}@{pPage:url}';</script>
</we>
<script>alert("密码不对!");history.back();</script>
</if>
</if>
</chtml>
</html>若有不明白之处请在评论中提出,我会与大家一起深入讨论
轻开平台资源下载及说明
平台及最新开发手册免费下载:http://download.csdn.net/detail/tx18/8464425
开发实例:轻开B2C电子商务网站,免费下载:http://download.csdn.net/detail/tx18/8318585
轻开平台会不定期升级为大家提供更多强大而Easy的功能,请留意下载最新的版本
session标签实例:简单的系统登录代码(巧妙地避开SQL注入攻击)
标签:session标签 用户登录 sql注入 web开发 密码检验
原文地址:http://blog.csdn.net/tx18/article/details/44118345
