防止横向越权,要校验一下这个用户的旧密码,一定要指定是这个用户.因为我们会查询一个count(1),如果不指定id,那么结果就是true啦count>0;-慕课网

2回答

Geely 2018-04-05 16:37:03

你好，同学，也就是说，具体的一个查询结果，要指定是哪个用户的，也就是userid。

换句话说结果集要和这个用户绑定。防止查出多余的数据~

2 回复有任何疑惑可以回复我~

慕慕7598572 #1

老师说的有道理,如果不指定userid,有可能查出多余的数据,因为如果输入的是一个错误的密码,但是这个密码刚好是别人在数据库中存在的密码,得到的结果也能是 resultCount >0,
但是应该不会产生把别人的密码给修改掉吧,因为修改密码所用的代码是:
int updateCount = userMapper.updateByPrimaryKeySelective(user);
而方法中的user参数是在session中取出来的,也就是修改的密码只能是当前登录的用户的，亲吻老师,这也是属于横向越权吗

回复有任何疑惑可以回复我~ 2018-04-26 15:48:46

慕慕7598572 #2

附上
resetPassword（String passwordOld,String passwordNew,User user）方法的代码:


    public ServerResponse<String> resetPassword(String passwordOld,String passwordNew,User user){
        //防止横向越权,要校验一下这个用户的旧密码,一定要指定是这个用户.因为我们会查询一个count(1),如果不指定id,那么结果就是true啦count>0;
        int resultCount = userMapper.checkPassword(MD5Util.MD5EncodeUtf8(passwordOld),user.getId());
        if(resultCount == 0){
            return ServerResponse.createByErrorMessage("旧密码错误");
        }

        user.setPassword(MD5Util.MD5EncodeUtf8(passwordNew));
        int updateCount = userMapper.updateByPrimaryKeySelective(user);
        if(updateCount > 0){
            return ServerResponse.createBySuccessMessage("密码更新成功");
        }
        return ServerResponse.createByErrorMessage("密码更新失败");
    }

回复有任何疑惑可以回复我~ 2018-04-26 15:50:28

慕慕7598572 #3
```
靠，在回复中代码好乱！！！
```
回复有任何疑惑可以回复我~ 2018-04-26 15:51:28

点开查看后面5条评论

polo哦 2018-04-04 12:59:22

同学，问问题最好讲究方式，一张图都没有，怎么知道你是哪个部分的呢。。

0 回复有任何疑惑可以回复我~

收起回答

防止横向越权,要校验一下这个用户的旧密码,一定要指定是这个用户.因为我们会查询一个count(1),如果不指定id,那么结果就是true啦count>0;

正在回答回答被采纳积分+3

2回答

相似问题

请选择置顶位置

本课精华内容

源配置能干嘛？它的作用是啥？目的又是什么？为什么这么配置？

老师为什么我的阿里云远程就连不进去改了安全组也不行

【upload.do】504 (剧终，解决办法看下面我的最新一条评论)

Could not get JDBC Connection无法登录了

这是怎么回事前面GIT命令和maven执行不了

热搜

最近搜索清空