探究彻底清除木马的方法

用户登录方法1——全jsp方式

逻辑流程图：





登录验证.jsp代码：

<body>
<%
String username = request.getParameter("username");
String password = request.getParameter("password");

Class.forName("sun.jdbc.odbc.JdbcOdbcDriver");

Connection ct=DriverManager.getConnection("JDBC:ODBC:mysql","root","asdasd");

String ckUserSql="select password from user where username='"+username+"'";

Statement st=ct.createStatement();

ResultSet rs= st.executeQuery(ckUserSql);

if(rs.next()){
if(password.equals(rs.getString(1)))
response.sendRedirect("success.jsp");
else
response.sendRedirect("fail.jsp"); //password error
}else
response.sendRedirect("fail.jsp"); //user do not exist

%>
</body>

用户登录方法2—— jsp->servlet->jsp

逻辑流程图：





servlet代码基本与jsp验证代码一致。

那么，这两种方式区别在那里呢？

答：一个是jsp做逻辑判断，一个是servlet做逻辑判断！（废话

）

这不是废话，我们应该考虑到这jsp和servlet的主要职责分别是什么。jsp本来就是用来做呈现层的，是html中镶嵌部分java代码片段。我们回过头看jsp的登录验证，整个body体中没有一句话是用来给浏览器显示的，这就失去了jsp的优势。并且jsp最终还需要web容器解析成servlet。

所以，我们应该让每一个部分发挥他本体优势，不用servlet做登录界面，也别用jsp做逻辑验证。（虽然他们都可以做到）

用户登录方法3—— jsp->servlet->java class->servlet->jsp

逻辑流程图：





专门设立java类进行数据验证，函数返回验证结果。

当然，我们还应该需要一个专门的类负责链接数据库，执行sql语句。（图中并没有表现出来，上面的代码也不是这么干的，但我们确实应该使用一个类来做这些）

至于为什么要这么做，大家各抒己见。我就不赘述了。
本文出自 “摺扇一路走来” 博客，请务必保留此出处http://upupxjg.blog.51cto.com/2665891/634838