JSP不断升温的动态网页建造工具

JSP作为建立动态网页的技术正在不断升温。JSP和ASP、PHP、工作机制不太一样。一般说来，JSP页面在执行时是编译式，而不是解释式的。首次调用JSP文件其实是执行一个编译为Servlet的过程。当浏览器向服务器请求这一个JSP文件的时候，服务器将检查自上次编译后JSP文件是否有改变，如果没有改变，就直接执行Servlet，而不用再重新编译，这样，效率便得到了明显提高。

今天我将和大家一起从脚本编程的角度看JSP的安全，那些诸如源码暴露类的安全隐患就不在这篇文章讨论范围之内了。写这篇文章的主要目的是给初学JSP编程的朋友们提个醒，从一开始就要培养安全编程的意识，不要犯不该犯的错误，避免可以避免的损失。另外，我也是初学者，如有错误或其它意见请发帖赐教。

一、认证不严——低级失误

在溢洋论坛v1.12 修正版中，

user_manager.jsp是用户管理的页面，作者知道它的敏感性，加上了一把锁：

if ((session.getValue("UserName")==null)││
   (session.getValue("UserClass")==null)││
   (! session.getValue("UserClass").equals("系统管理员"))) { 
response.sendRedirect("err.jsp?id=14"); 
return; 
}

如果要查看、修改某用户的信息，就要用modifyuser_manager.jsp这个文件。管理员提交http://www.somesite.com/yyforum/modifyuser_manager.jsp?modifyid=51就是查看、修改ID为51的用户的资料（管理员默认的用户ID为51）。但是，如此重要的文件竟缺乏认证，普通用户（包括游客）也直接提交上述请求也可以对其一览无余（密码也是明文存储、显示的）。modifyuser_manage.jsp同样是门户大开，直到恶意用户把数据更新的操作执行完毕，重定向到user_manager.jsp的时候，他才会看见那个姗姗来迟的显示错误的页面。显然，只锁一扇门是远远不够的，编程的时候一定要不厌其烦地为每一个该加身份认证的地方加上身份认证。