web安全设计--输入验证--标准化问题
发布网友
共1个回答
热心网友
比如提交表单后向user.asp提交两个值
id
psw
就会形成如同
user.asp?id=wo&&psw=psw
的地址请求(一般使用post,就看不到?后面的)
这样的话如果我们直接在浏览器中输入
usre.asp?id=*&&psw=*
的话在服务器端肯定能得到一条记录
如果服务器端依据有没有返回记录来判断用户的输入是否正确
那么这个链接就是正确的
就会认为用户已经通过了验证
不是很清楚
大意是这样的
至于我写的链接等只是表明一个意思
并不是代表实际是这样的
