session标签范例：简单的系统登录代码(巧妙地避开SQL注入攻击)_SQL

session标签实例：简单的系统登录代码(巧妙地避开SQL注入攻击)

提交用户名和密码到服务器，以用户为条件查询用户记录，然后判断用户是不是已经注册，若注册就判断密码是否正确，正确则成功登录，在会话中记录用户的相关信息。查询中只以用户名为条件，让数据库从单列索引中快速找出匹配的用户记录，速度远快于同时使用用户名和密码作为条件的查询，而且还巧妙地避开了SQL注入攻击。

登录页

表单代码

              <FORM name=form1 action="" method=post onsubmit="return checkval();">			  <input name=url value="base/index.html" type=hidden>               <TR>                <TD align=right width=64 height=25>用户：</TD>                <TD vAlign=top width=112 height=25><INPUT                   style="FONT-SIZE: 12px; WIDTH: 100px; COLOR: #000000; BACKGROUND-COLOR: #fef7d4"                   name=USERNAME></TD>                <TD vAlign=top width=1> </TD></TR>              <TR>                <TD align=right width=64 height=25>密码：</TD>                <TD vAlign=top width=112 height=25><INPUT                   style="MARGIN-TOP: 14px; FONT-SIZE: 12px; WIDTH: 100px; COLOR: #000000; BACKGROUND-COLOR: #fef7d4"                   type=password name=PASS> </TD>                <TD vAlign=top width=1> </TD></TR>

校验的脚本

var url = location.href;function checkval(){		var pos = url.indexOf("index.htm");	url = url.substring(0,pos)+"base/check.chtml";	form1.action = url;	if(form1.USERNAME.value=="")	{		alert("请输入用户名");		form1.USERNAME.focus();		return false;	}  	if (form1.PASS.value=="")	{		alert("请输入密码");		form1.PASS.focus();		return false;	} }

效果

登录确认页

查询

<ESql module=base id=user>Select WE_ID,USERNAME,PASS,CNNAME,DEPT,ACL,PHOTO,PHONE,MOBILE,EMAIL,OICQ,MSN,ENROLLTIME From BASE_USERS Where USERNAME='@{pPage:USERNAME}'</ESql>

判断用户存在否，不存在则回到表单页

<if x="@{logic:@{user:getLength}=0}" else=1>	<we x=true>		<script>alert("用户：@{pPage:USERNAME} 尚未注册！");history.back();</script>	</we>	... ...</if>

判断密码正确不，不正确则回到表单页

	<if x="@{user:PASS}" else=1>		<we x="@{pPage:PASS}">			... ...		</we>		<script>alert("密码不对！");history.back();</script>	</if>

密码正确则登录成功，在会话记录用户的相关信息

			<session>				<we name=WE_ID>@{user:WE_ID}</we>				<we name=USERNAME>@{user:USERNAME}</we>				<we name=PASS>@{user:PASS}</we>				<we name=CNNAME>@{user:CNNAME}</we>				<we name=DEPT>@{user:DEPT}</we>				<we name=ACL>@{user:ACL}</we>				<we name=PHOTO>@{user:PHOTO}</we>				<we name=PHONE>@{user:PHONE}</we>				<we name=MOBILE>@{user:MOBILE}</we>				<we name=EMAIL>@{user:EMAIL}</we>				<we name=OICQ>@{user:OICQ}</we>				<we name=MSN>@{user:MSN}</we>				<we name=ENROLLTIME>@{user:ENROLLTIME}</we>			</session>

跳转到登录成功后的指定网页

<script>location.href='@{sys:face}@{pPage:url}';</script>

完整代码

<html><chtml><ESql module=base id=user>Select WE_ID,USERNAME,PASS,CNNAME,DEPT,ACL,PHOTO,PHONE,MOBILE,EMAIL,OICQ,MSN,ENROLLTIME From BASE_USERS Where USERNAME='@{pPage:USERNAME:}'</ESql><if x="@{logic:@{user:getLength}=0}" else=1>	<we x=true>		<script>alert("用户：@{pPage:USERNAME} 尚未注册！");history.back();</script>	</we>	<if x="@{user:PASS}" else=1>		<we x="@{pPage:PASS}">			<session>				<we name=WE_ID>@{user:WE_ID}</we>				<we name=USERNAME>@{user:USERNAME}</we>				<we name=PASS>@{user:PASS}</we>				<we name=CNNAME>@{user:CNNAME}</we>				<we name=DEPT>@{user:DEPT}</we>				<we name=ACL>@{user:ACL}</we>				<we name=PHOTO>@{user:PHOTO}</we>				<we name=PHONE>@{user:PHONE}</we>				<we name=MOBILE>@{user:MOBILE}</we>				<we name=EMAIL>@{user:EMAIL}</we>				<we name=OICQ>@{user:OICQ}</we>				<we name=MSN>@{user:MSN}</we>				<we name=ENROLLTIME>@{user:ENROLLTIME}</we>			</session>			<script>location.href='@{sys:face}@{pPage:url}';</script>		</we>		<script>alert("密码不对！");history.back();</script>	</if></if></chtml></html>

若有不明白之处请在评论中提出，我会与大家一起深入讨论

轻开平台资源下载及说明

平台及最新开发手册免费下载：http://download.csdn.net/detail/tx18/8464425

开发实例：轻开B2C电子商务网站，免费下载：http://download.csdn.net/detail/tx18/8318585

轻开平台会不定期升级为大家提供更多强大而Easy的功能，请留意下载最新的版本

10楼golferdata昨天 11:19: 顶

9楼server01_xz昨天 21:19: 加上校验更安全

8楼tx18昨天 21:19: 晚安

7楼findao12昨天 17:22: 顶

6楼server01_xz前天 22:54: 晚安

5楼server01_xz前天 22:23: 顶

4楼bfl12前天 22:14: 赞！

3楼tx18前天 22:07: 休息

2楼tx18前天 20:26: 直接可以用于实战

1楼tx18前天 19:00: 这是2007写的东东