当我13岁的时候，我的学校为学生开设了一个社交网络。不幸的是，我发现了一个安全漏洞，可以将URI更改为另一个用户id，如“?”userID=123”，并为该用户登录。显然，我告诉了我的朋友们，最后学校的社交网络充满了色情。

不过我不推荐。

在我工作的一个网站上，他们使用用户名和密码作为组合主键。用户名自动是您的姓，不需要唯一。

这就只剩下一件独一无二的事情了…

login.jsp?type=user&redirct=/home.jsp&userid=12345&username=username&password=mypassword

这发生在一个非常大的网站上。当我看到这个的时候，我惊呆了。

一个使用faces和managedbean的应用程序。用于编辑已经登录的用户的bean与自注册表单使用的bean相同，其中两个隐藏字段是唯一的区别。的意思吗?如果你得到了某人的证件号码(相当于美国的社会安全号)，你就可以修改他们的密码。

我曾经做过一份工作，其中有一个用Java代码编写的安全层，用于检查用户是否有权编辑DB表列。这是函数的样子:

public boolean canEdit(User user, DBColumn column) {
    if(true) {
        return true;
    } else {
        return false;
    }
}

一些验证码是这样的:

public bool charsEquals(char[] input, char[] txt)
{
    for (int i = 0; i < Math.min(input.length; txt.length); ++i)
    {
        if (input[i] != txt[i]) return false;
    }
    return true;
}

像这样使用它:

if (charsEquals(inputPassword, requestedPassword))

看了YouTube上关于Tux和比尔·盖茨之战的搞笑视频后，我开始思考这个问题。当Tux没有密码进入微软大楼时。