首先需要聲明，本文純屬1個毫無遠見和真才實學的小小開發人員的愚昧見解，僅供用于web系統安全方面的參考。

1、 簡單說明

利用程序通常以終端用戶沒法直接查看或修改的方式向服務器傳送數據。很多的時候，開發者都優先斟酌實現基本效果，而很少去斟酌我們所采取的傳輸機制能夠確保數據在傳輸進程中不會被修改。
在互聯網中，大量的數據通過URL參數的方式進行傳遞，大部份的數據，是沒有通過加密進行傳輸。在我所了解到的情況，大部份的數據是通過明碼進行…

2、 優點：

1. 不用追蹤用戶會話中的數據，減少保持在服務器上的數據，提高服務器處理的性能；
2. 大型系統中，都會使用負載均衡，還能下降負載均衡裝備的壓力；
3. 下降其他組件的復雜性；
4. 開發、聯調方便；
5. 其他優點…

3、 URL參數傳遞

用戶閱讀產品目錄的時候，1般系統都會給用戶指派1個URL，類似下面：
http://127.0.0.1:8080/webStudy/url.jsp?price=2199&code=p7
固然，如果包括參數的URL顯示在閱讀器地址欄中，很多人知道，這個好像是不太安全的。固然，我們也要相信這類情況肯定有，不過應當是極少數。
很多種的情況，是我們不希望用戶直接查看的，我們會用1些其他的方法，比如系統通過彈出窗口或隱藏閱讀器地址的方式來進行貌似高安全的方法。

1些購物網站也是這樣做的，通過隱藏字段來保持商品的價格。之前這類做法很常見，現在是不是消失，我也不肯定…

4、 通過URL參數傳遞的源代碼

url.jsp
<%@ page language=”java” import=”java.util.,javax.servlet.http.” pageEncoding=”UTF⑻”%>



看好你的門-阿飯同學


登陸成功，歡迎來自<%=(String)request.getRemoteAddr()%> 的用戶。

購買了華為手機，
型號為：<%=(String)request.getParameter(“code”)%>
單價<%=(String)request.getParameter(“price”)%>

在閱讀器上輸入：http://127.0.0.1:8080/webStudy/url.jsp?price=2199&code=p7
顯示：
登陸成功，歡迎來自127.0.0.1 的用戶。
購買了華為手機，
型號為：p7
單價2199

5、 被攻擊

雖然價格字段沒有顯示在屏幕上，看起來用戶也不能去修改。 但是客戶真個1切終究操作都是用戶控制，用戶編輯這個價格就能夠消除這個限制。
1、 最簡單的方法，點擊右鍵取得這個隱藏的URL參數，然后把這個參數進行修改，然后載入閱讀器，那末結果就產生了變化； 比如：http://127.0.0.1:8080/webStudy/url.jsp?price=122&code=p7

2、 通過攔截服務器對數據直接進行修改。