1、前端JS，文件名过滤，Content-Type过滤 抓包修改文件名 2、文件头过滤绕过 以图片上传为例，PNG的文件头89504E47，将其加入白名单，凡是不是89504E47开头的文件，都不允许上传。 只需给webshell脚本的二进制文件，人工添加89504E47，即可绕过文件头过滤检验，且不影响webshell本身的功能。 3、.htaccess绕过 htaccess 文件是 Apache 服务器中的一个配置文件,它负责相关目录下的网页配置。 通过上传htaccess文件，可以改变可执行文件的后缀名 上传…

  1、构造LoginService类，作为授权的起始页面，引导用户访问该servlet。

  1、动态添加元素 var know =

  如果每次对数据库的访问都建立连接，在高并发情况下数据库会拒绝连接：too many connections 如果使用Tomcat JDBC Pool，则由Tomcat对连接池进行维护，对于超出限制的连接可以进行等待，防止连接过多。   1.Tomcat配置

  通过Filter验证缓存的session，从而验证当前用户的登录状态。 web.xml中对Filter进行注册。

  1、引入sql的jar包 mysql-connector-java-5.1.45-bin.ja

  1、从请求中获取参数 String username=request.getParameter(