JAVA教程之网站平安不成无视：一个免费JSP网站的破...

多谢指点，其实我对.net和ruby也不是很了解，对与java也只是刚起步的阶段，只是在学习中有了点想法就写出来了，现在俺本科还没毕业，所以对大型项目基本上也没有什么经验。js|平安|历程|破解　　某日在网上偶尔翻开一个网站，是有PLMM与你视频谈天的，可是要手机注册免费。就想找找有无毛病能够不费钱就与MM谈天。起首找找有无SQL的空子可钻，翻开一个带有参数的页面，http://www.xxx.yyy/abc.jsp?agentid=111116，把前面的参数改一下碰运气http://www.xxx.yyy/abc.jsp?agentid=111116了局：
500ServletException
java.lang.NumberFormatException:Forinputstring:"111116"
atjava.lang.NumberFormatException.forInputString(NumberFormatException.java:48)
atjava.lang.Integer.parseInt(Integer.java:477)
atjava.lang.Integer.parseInt(Integer.java:518)
at_agentdetail__jsp._jspService(D:        imework        imewebudateagentdetail.jsp:12)
atcom.caucho.jsp.JavaPage.service(JavaPage.java:75)
atcom.caucho.jsp.Page.subservice(Page.java:506)
atcom.caucho.server.http.FilterChainPage.doFilter(FilterChainPage.java:182)
atcom.caucho.server.http.Invocation.service(Invocation.java:315)
atcom.caucho.server.http.HttpRequest.handleRequest(HttpRequest.java:246)
atcom.caucho.server.http.HttpRequest.handleConnection(HttpRequest.java:163)
atcom.caucho.server.TcpConnection.run(TcpConnection.java:139)
atjava.lang.Thread.run(Thread.java:534)
　　看来是把字符串转换成数字再处置的，这里仿佛没戏，再持续找找看，注册和登录都试过了，没用，厥后偶尔发明一个中央能够上传照片，能够研讨一下，了局侥幸，传了一个jsp文件上往，竟然没有提醒毛病！厥后顺遂的由图片的路径找到了传上往的JSP文件的路径，了局试着会见，统统一般
OK，天佑我也！任意写了一个会见硬盘上的目次和文件的jsp文件，传了上往，因而经由过程jsp文件失掉了网站的物理路径，又写了一个检察文件内容的jsp，传上往，这下硬盘上的工具都能够看得一览无余了，要想不必钱就能够登录，还得找到数据库才行，看看内里的jsp代码，看不出甚么明堂，都是用的javabean写的，估量是把数据库的操纵都封装了，看来从jsp文件动手是没但愿了，看看WEB-INF下边有甚么，WEB.xml看了看，没甚么用，在看看classes内里，有一个名字叫做campus.properties的文件，翻开看看，朝思暮想的服务器IP，端口，sa的暗码都在内里
#campus.properties--ThuJul0118:23:20CST2004
#ThuJul0118:23:20CST2004
DbConnectionDefaultPool.minConnections=1000
mail.domain=localhost
DbConnectionDefaultPool.server=jdbc:jtds:sqlserver://192.168.1.3:1433/xxx;charset=gb2312
mail.encoding=GB2312
infor.TypeMorePath=TypeMoreList.jsp
infor.TiTime=yy-M-d
infor.TiLiStr=<fontsize=2>•</font>
sxhCrypt1=426CE28D53728257
infor.MsgMoreLink=
infor.TiPattern=T[M-d]
DbSearchIndexer.lastIndexed=993035225847
documentOption2=false
infor.CSS=a3
DbConnectionDefaultPool.logPath=D:workwebxxxWEB-INFCampusDbLog.log
infor.TypeViewPath=TypeView.jsp
DbConnectionDefaultPool.username=sa
infor.MsgMorePath=MsgMoreList.jsp
path=D:workwebudateWEB-INFclassescampus.properties
setup=true
DbConnectionDefaultPool.connectionTimeout=0.002
mail.smtpport=25
mail.tempdir=D:myProjectXerInfordefaultrootfilesMailTmp
campusHome=D:workwebudate
DbConnectionDefaultPool.maxConnections=3000
infor.TiImgStr=
mail.smtphost=localhost
DbConnectionDefaultPool.driver=net.sourceforge.jtds.jdbc.Driver
infor.ImgPath=MsgList.jsp
infor.MsgViewPath=MsgView.jsp
DbConnectionDefaultPool.password=xxxxxxxxxxx
（以上关头的中央有所修改）
　　有了这些，哈哈，统统都办理了吧！即刻写个jsp查询一下数据库内里都有甚么表，有个_User表，估量就是用户表，取几条数据尝尝，公然。。。。
　　接上去就好办了，为了不引嫌疑另有让无辜的工资我出钱，以是还得注册一个帐户，但不续费
然后把本人的手机号码用Update更新成其余不存在的号码，再找到点数谁人字段，更新成1000000点
哈哈，统统都弄定！登录一下尝尝，本人酿成有钱人啦！！！因为不想跟网站形成不用要的贫苦，仍是不盘算发布这个网站出来了，兄弟姐妹们包涵！
　　因而可知，网站的平安性十分主要，特别是免费的网站，假如不注重，轻则让他人收费观光，重则一切数据都OVER，设想一下假如实行一条DeleteFrom_User，这个网站的丧失会有多年夜？我之前写代码的时分都没有注重到此类的细节，经由此次，我想今后必定要注重这些成绩了。

认真的记，感觉很紧张根本就没有时间和能力，来对技术知识点进行思考。这样课下就只能对知识进行简单的理解，其实简单的理解就是记忆课堂上讲的知识点，

是一种使网页(Web Page)由静态(Static)转变为动态(Dynamic)的语言

有时间再研究一下MVC结构（把Model-View-Control分离开的设计思想）

是一种使网页(Web Page)产生生动活泼画面的语言

当然你也可以参加一些开源项目，一方面可以提高自己，另一方面也是为中国软件事业做贡献嘛！开发者在互联网上用CVS合作开发，用QQ,MSN,E-mail讨论联系，天南海北的程序员分散在各地却同时开发同一个软件，是不是很有意思呢？

科学超级计算机、移动电话和互联网，同时拥有全球最大的开发者专业社群。

应用在电视机、电话、闹钟、烤面包机等家用电器的控制和通信。由于这些智能化家电的市场需求没有预期的高，Sun公司放弃了该项计划。随着1990年代互联网的发展

应用在电视机、电话、闹钟、烤面包机等家用电器的控制和通信。由于这些智能化家电的市场需求没有预期的高，Sun公司放弃了该项计划。随着1990年代互联网的发展

至于JDBC，就不用我多说了，你如果用java编过存取数据库的程序，就应该很熟悉。还有，如果你要用Java编发送电子邮件的程序，你就得看看Javamail 了。