jsp 对request.getSession(false)的理解(附程序员常疏忽的一个漏洞)_JSP编程

【前面的话】
在网上经常看到有人对request.getSession(false)提出疑问,我第一次也很迷惑,看了一下J2EE1.3 API,看一下官网是怎么解释的。
【官方解释】
getSession
public HttpSession getSession(boolean create)
Returns the current HttpSession associated with this request or, if if there is no current session and create is true, returns a new session.
If create is false and the request has no valid HttpSession, this method returns null.
To make sure the session is properly maintained, you must call this method before the response is committed. If the container is using cookies to maintain session integrity and is asked to create a new session when the response is committed, an IllegalStateException is thrown.
Parameters: true - to create a new session for this request if necessary; false to return null if there's no current session
Returns: the HttpSession associated with this request or null if create is false and the request has no valid session
译:
getSession(boolean create)意思是返回当前reqeust中的HttpSession ,如果当前reqeust中的HttpSession 为null,当create为true,就创建一个新的Session,否则返回null;
简而言之:
HttpServletRequest.getSession(ture) 等同于 HttpServletRequest.getSession()
HttpServletRequest.getSession(false) 等同于 如果当前Session没有就为null;
【问题和bug】:
我周围很多同事是这样写的;

复制代码 代码如下:

HttpSession session = request.getSession(); // a new session created if no session exists, 哈哈!完蛋啦!如果session不存在的话你又创建了一个!
String user_name = session.getAttribute("user_name");

需要注意的地方是request.getSession() 等同于 request.getSession(true),除非我们确认session一定存在或者sesson不存在时明确有创建session的需要,否则尽量使用request.getSession(false)。在使用request.getSession()函数,通常在action中检查是否有某个变量/标记存放在session中。这个场景中可能出现没有session存在的情况,正常的判断应该是这样:

复制代码 代码如下:

HttpSession session = request.getSession(false);
if (session != null) {
String user_name = session.getAttribute("user_name");
}

【投机取巧】:

如果项目中用到了Spring(其实只要是Java的稍大的项目,Spring是一个很好的选择),对session的操作就方便多了。如果需要在Session中取值,可以用WebUtils工具(org.springframework.web.util.WebUtils)的getSessionAttribute(HttpServletRequest request, String name)方法,看看高手写的源码吧:哈哈。。

复制代码 代码如下:

/**
* Check the given request for a session attribute of the given name.
* Returns null if there is no session or if the session has no such attribute.
* Does not create a new session if none has existed before!
* @param request current HTTP request
* @param name the name of the session attribute
* @return the value of the session attribute, or <code>null</code> if not found
*/
public static Object getSessionAttribute(HttpServletRequest request, String name) {
Assert.notNull(request, "Request must not be null");
HttpSession session = request.getSession(false);
return (session != null ? session.getAttribute(name) : null);
}

注:Assert是Spring工具包中的一个工具,用来判断一些验证操作,本例中用来判断reqeust是否为空,若为空就抛异常。
上面的代码又可以简洁一下啦,看吧:

复制代码 代码如下:

HttpSession session = request.getSession(false);
String user_name = WebUtils.getSessionAttribute(reqeust, "user_name");

来源:http://blog.csdn.net/xxd851116

时间: 2024-10-25 16:47:44

jsp 对request.getSession(false)的理解(附程序员常疏忽的一个漏洞)_JSP编程的相关文章

对request.getSession(false)的理解(附程序员常疏忽的一个漏洞)

转自:http://blog.csdn.net/xxd851116/article/details/4296866 [前面的话] 在网上经常看到有人对request.getSession(false)提出疑问,我第一次也很迷惑,看了一下J2EE1.3 API,看一下官网是怎么解释的.  [官方解释]   getSession  public HttpSession getSession(boolean create) Returns the current HttpSession associa

request.getSession(false)在什么时候返回null?

问题描述 现在做个单点登录的功能,通过传sessionid实现在同一个web应用中,有两个域名映射过来A www.laxbox.comB bbs.laxbox.com从A中登录,在A中通过http://bbs.laxbox.com/admin/index.do;jsessionid=DFDD4DA7B1D1040840BCE2CE5080F8F9访问B,在B 中通过判断 request.getSession(false)是否为空来判断是否已登录第一次是可以的,没问题,退出登录后第二次再从A登录访

使用JSP + JAVABEAN + XML 开发的一个例子_JSP编程

本例子是参考了一些网站上有关JSP 对 XML 的操作的相关文档,又结合了一些个人的体会.例子涉及的内容是,开发的一个企业内部定餐系统后台管理端的部分代码,功能主要集中在对于餐馆基本信息的管理. 该例子本身开发的起因是我在原公司和同事们一个玩笑的一部分.特此也表达对那些一起共事的朋友们的想念. 例子本身是在TOMCAT4.01 平台下运行的B/S结构的程式.有关TOMCAT 的配置,这里不做说明.只讲解一下相关文件及文件夹的目录结构. 目录结构说明:/tomcat/webapps/canyin/

JSP生成WORD文档,EXCEL文档及PDF文档的方法_JSP编程

本文实例讲述了JSP生成WORD文档,EXCEL文档及PDF文档的方法.分享给大家供大家参考,具体如下: 在web-oa系统中,公文管理好象不可或缺,有时需要从数据库中查询一些数据以某种格式输出来,并以word文档的形式展现,有时许多word文档保存到数据库中的某个表的Blob字段里,服务器再把保存在Blob字段中的图片文件展现给用户.通过网上查找发现很少有关于此类的文章,现在整理起来供大家参考. 1 在client端直接生成word文档 在jsp页面上生成word文档非常简单,只需把conte

jsp从数据库获取数据填充下拉框实现二级联动菜单的方法_JSP编程

本文实例讲述了jsp从数据库获取数据填充下拉框实现二级联动菜单的方法.分享给大家供大家参考,具体如下: 项目告一段落,现在将遇到的比较实用的东西记录下来,写了多遍了,谨记于此,以备查看! 1.首先在数据库中获取第一个下拉框的数据: <s:select listKey="tsFrom" id="t_tsfrom" cssClass="required" listValue="tsFrom" cssStyle="w

JSP中js传递和解析URL参数以及中文转码和解码问题_JSP编程

1.传递参数: 复制代码 代码如下: var pmt = 'sensor='+ encodeURI(encodeURI(sensor))+'&device='+encodeURI(encodeURI(device))+'&instrument='; pmt += encodeURI(encodeURI(instrument))+'&n='+n+'&addDate='+addDate; top.location.href = 'jsp/print/diagnosticAnaP

JSP实现用于自动生成表单标签html代码的自定义表单标签_JSP编程

本文实例讲述了JSP实现用于自动生成表单标签html代码的自定义表单标签.分享给大家供大家参考.具体如下: 这个是自己写的一个简单的JSP表单标签,用于自动生成checkbox,select,radio等标签,传入菜单集合生成html代码,自动选中指定值,用于java web项目的jsp页面. 1. Servlet部分代码: Map<String, String> map = new HashMap<String, String>(); map.put("2",

JSP程序使用JDBC连接MySQL的教程_JSP编程

安装和加载JDBC驱动程序 下载JDBC驱动程序mysql-connector-java-5.1.7.zip http://www.jb51.net/softs/214141.html 将里面的文件mysql-connector-java-5.1.7-bin.jar放在项目WEB-INF目录下的lib文件中,安装就已经完成了(前提是你的机器已经安装了MySQL,如果没有安装先安装) 加载在JDBC驱动程序 <%@page language="java" contentType=&

JSP单选按钮验证、下拉框验证、复选框验证实现代码_JSP编程

//验证性别(单选按钮验证) function checkXb(){ var temp = false; var xbObj1= document.getElementById("xb1"); var xbObj2= document.getElementById("xb2"); if(xbObj1.checked || xbObj2.checked){ temp = true; } return temp; } function checkform() { //验