本人大二软件工程,求赐一个 java web 项目和一个 ssm 项目( ps:能力严重太足,希望项目有一定锻炼能力的作用),想要写写改改拿着当作项目投简历,苦于网上找到的都是电商项目,想做一些不涉及并发的,就差不多毕业论文水平的就可以
This topic created in 2458 days ago, the information mentioned may be changed or developed.
 | 1 jay0726 Aug 19, 2019 学会使用 https://github.com/ |
 | 2 qping Aug 19, 2019 学 springboot 吧,简单易上手 |
 | 3 mccreefei Aug 19, 2019 这是我大学时期写的一个 SSM 聊天室,可以看看: https://github.com/MccreeFei/EasyChat |
 | 4 Solix Aug 19, 2019 写个进销存软件就差不多了 |
 | 5 no1xsyzy Aug 19, 2019  7 “能力严重太足” 我想是打错了,但还是笑喷了 |
 | 8 wangkai0351 Aug 19, 2019 @mccreefei 不是我杠精啊,看了一眼您的项目,用户登陆管理模块有安全问题,比如 User queryUser(@Param("name") String name,@Param("password") String password); public String toString() { return "User{" + "id=" + id + ", name='" + name + '\'' + ", password='" + password + '\'' + ", loginDate=" + loginDate + ", logoutDate=" + logoutDate + '}'; } |
 | 9 azcvcza Aug 19, 2019 接 8 楼,不做过滤直接拼接,太容易被注入了,写着玩还行吧 |
 | 11 wc951 Aug 19, 2019 via Android 为什么查询用户会把密码返回去,没想过安全问题吗 |
 | 12 xaplux Aug 19, 2019 @xlui 同意你的观点 @wangkai0351 queryUser 明显是 dao 层啊,有什么安全问题? User 的 toString 方法有什么安全问题?不要告诉我是因为密码没有加密。 @azcvcza 哪里看出容易注入了? @wc951 domain 的 toString 方法这样写没有问题的啊 |
| 14 wangkai0351 Aug 19, 2019 @xaplux 我不甚懂 java,我认为,只要在用户输入缓冲区到数据库接口这条路上没有做防注入过滤,不都是脆弱的吗? |
 | 15 Allianzcortex Aug 19, 2019 via iPhone @wangkai0351 不....那段代码是打印用户信息,不是验证登陆。可以说有隐私问题但不是执行 sql 里直接使用用户输入,不会被注入 |
| 16 wangkai0351 Aug 19, 2019 @Allianzcortex 你是说“ User queryUser(@Param("name") String name,@Param("password") String password); ”是打印用户信息? |
 | 18 sinv Aug 19, 2019 via iPhone @wangkai0351 #16 你看到的这个文件是个抽象类,你看到的 return ……是 public String toString()这个方法里的,而不是你所认为的 User queryUser()方法,你看错了。 |
| 19 wangkai0351 Aug 19, 2019 @Allianzcortex 我不甚懂 java,我认为,User queryUser 和这条查询语句关联 https://github.com/MccreeFei/EasyChat/blob/master/src/main/resources/map/userMapper.xml#L7 不知道是否正确。 |
| 20 wangkai0351 Aug 19, 2019 @sinv 我清楚,我在 8 楼罗列的是两个 point,指的是这两个点分别有疑问。 |
| 21 sinv Aug 19, 2019 via iPhone @Allianzcortex #17 什么鬼?他把两个文件里的函数捏一起提的问题? |
 | 22 zazalu Aug 19, 2019 via Android 仿佛要歪楼的样子。 |
| 23 Allianzcortex Aug 19, 2019 @sinv @wangkai0351 似乎问题不是在那两个代码,而是在 https://github.com/MccreeFei/EasyChat/blob/master/src/main/resources/map/userMapper.xml#L7 文件里的 ``` <mapper namespace="cn.mccreefei.dao.UserDAO"> <select id="queryUser" resultType="cn.mccreefei.model.User"> SELECT id, name, password FROM user WHERE name = #{name} AND password = #{password} </select> ``` Spring DAO 可以直接通过 sql 名字就生成查询代码,但对 ibatis 和 XML 不了解... |
| 24 sinv Aug 19, 2019 via iPhone @wangkai0351 #19 抱歉前面理解错误,现在好像懂你的意思了,其实在这一层,password 只作为普通数据来对待,而安全合规操作并不是在这一层处理或采用你说的过滤 password 来实现,比如数据库中不明文存储用户密码等。 |
 | 25 AM2coder Aug 19, 2019 via Android 楼歪得楼主掩面哭泣 |
 | 26 akiakiseofficial Aug 20, 2019 via Android @wangkai0351 #14 防注入在 Mybatis 的 XML 里做了 |
 | 27 zifangsky Aug 20, 2019 楼歪得楼主掩面哭泣=1  |
| 28 xaplux Aug 20, 2019 |
Select Language