如何在jsp中使用查询获取用户角色？

Posted 2023-02-27

【中文标题】如何在jsp中使用查询获取用户角色？

【英文标题】：How to get user roles using query in jsp?

【发布时间】：2014-12-30 23:49:29

【问题描述】：

我是 Java 新手，我希望使用 switch 语句进行基于角色的访问，但是当我执行查询并提供用户角色（例如用户或管理员）时，用户登录良好，但如果我将 (role='') 留空查询然后查询不能很好地执行并跳转到 else 语句。其次，如果我使用准备好的语句，那么我如何获得用户角色谢谢。这是我的代码。

<%
  String userid = request.getParameter("username");   
  String pwd = request.getParameter("password");
  Class.forName("com.mysql.jdbc.Driver");
  Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/auto_lube","root", "password");

  Statement st = con.createStatement();
  ResultSet rs;
  rs = st.executeQuery("select * from users where uname='" + userid + "' and pass='" + pwd + "' and role=''");  

  if (rs.next())            
    String username =  rs.getString("uname");
    String email =  rs.getString("email");
    String rolle =  rs.getString("role");
    session.setAttribute("customer_name", username); 

    int usser =  rs.getInt("id");
    session.setAttribute("customer_id", usser);
    switch(rs.getInt(rolle))                   
      case 1:
        if (rolle.equals("admin"))                   
          response.sendRedirect("adminPage.jsp");
          break;
        

      case 2:
        if (rolle.equals("user"))                  
          response.sendRedirect("user.jsp");
        
        break;

      case 3:
        if (rolle.equals("assistant"))                  
          response.sendRedirect("assistant.jsp");
        
        break;

      case 4:
        if (rolle.equals("supplier"))                  
          response.sendRedirect("supplier.jsp");
        
        break;

      default:
        break;
     
   else 
  out.print("invalid");
   
%>         

【问题讨论】：

st.executeQuery("select * from users where uname='" + userid + "' and pass='" + pwd + "' and role=''"); SQL注入源

如果你没有传递任何角色，那么你可以将他重定向到 users.jsp 并且你的控制不应该来自 JDBC 代码。

我在角色后加了双引号，显示错误

如果我设置用户角色，那么如何执行 switch 语句，因为我应该为多个角色编写多个查询，这不是一个好习惯？

【参考方案1】：

恭喜，你只放了一段代码就做了很多不好的做法！

您在 JSP 中放置了很多 scriptlet。您最好使用 servlet 进行此处理，并且仅将 JSP 用于视图（显示）部分。 Servlet 是真正的 Java 类，因此更容易编写和测试。

您在不使用准备好的语句的情况下在查询中连接用户输入字符串（但我承认您注意到了 :-)）。 千万不要这样做，这是一个 SQL 注入的开放陷阱（只需 google 即可）

您将明文密码存储在数据库中。好的做法建议只存储密码的不可逆哈希。如果数据库被攻破，攻击者将无法获取密码。

您在查询中强加role = ''。如果你能找到 admin 的角色，我会感到非常惊讶！

您使用角色来选择重定向到哪个页面。这本身并不是一个不好的做法，但如果您不测试该用户在重定向页面中是否具有有效角色，则可能会出现这种情况。常见的用法是有一个单独的页面，其中部分仅根据角色显示（JSP 中的<c:if> blocs）。

rs.getInt(rolle) 是什么意思？你从结果集中得到rolle，直接使用它并在做任何rolle.equals(...)之前测试它是否为null（NPE不远）

对于准备好的语句，你可以这样做：

PreparedStatement st = connection.prepareStatement("select * from users where uname=? and pass=?");
st.setString(1, userid);
st.setString(2, pwd);
ResultSet rs = st.executeQuery();

这样，不仅可以保护您免受 SQL 注入，而且您可以从数据库中获取来自 userid、pwd 的行，无论角色是什么。

编辑：

查询后，您仍然可以从users 表中读取任何属性：

  if (rs.next())            
    String username =  rs.getString("uname");
    String email =  rs.getString("email");
    String rolle =  rs.getString("role");
    session.setAttribute("customer_name", username); 

    int usser =  rs.getInt("id");
    session.setAttribute("customer_id", usser);

测试应该是

if (rolle == null || role.isEmpty()) 
    // process no role case first - it deals with the null role problem

else if (role.equals("admin") 
    ...

...
else 
    // process for unknown role

【讨论】：

非常感谢，请分享任何相关示例的链接，以便清楚理解。

请告诉我，如果我只使用上面准备好的语句而不使用角色，那么我如何使用 switch 语句。谢谢

@Balajeet，您混淆了输入和输出查询参数。查看我的编辑。

非常感谢您的指导。