Здесь можно обсудить проект aomai: http://soft.altailand.ru/Index.jsp?id=11 . Используемые технологии: язык программирования Java, технология Java Server Faces, сервер приложений glassfish v2.1 (Sun Microsystems), компонентная модель RichFaces (http://www.jboss.org/richfaces), среда разработки IDE - NetBeans v 6.8 (Sun Microsystems), СУБД MySql v5.0.67 (Sun Microsystems), операционная система на сервере - Ubuntu Linux Server v 8.10. Текущая версия разработки в действии всегда отражена на сайте http://aomai.ru .

Вышла новая версия 1.02 проекта aomai. Исходный код доступен для скачивания: http://soft.altailand.ru/download/aomai_102.zip Вначале я пытался переписать код версии 1.01 на JFS2.0, используя компоненты PrimeFaces, однако встретился с проблемами непредсказуемого поведения компонент в различных контекстах окружения. После этого решил вообще отказаться от JSF. После небольшого по продолжительности поиска выбрал фреймворк Wicket: http://wicket.apache.org Переписывание кода на Wicket происходило с одновременным изучением и освоением этого фреймворка. В итоге aomai был полностью перенесен на Wicket, а я остался доволен сделанным выбором.

Версия 2.00 проекта aomai опубликована: http://soft.altailand.ru/Index.jsp?id=11 Исходный код доступен для скачивания: http://soft.altailand.ru/download/aomai_200.zip В результате значительной переработки кода удалось полностью избавиться от ограничивающих свободу Java веб-фреймворков. В последней версии используются только классические Java веб-технологии: JSP, Servlet 3.0, а также JavaScript (JQuery) на клиенте.

Доброго времени суток уважаемый Георгий Михайлович.
По странному стечению обстоятельств мне пришло в голову скачать исходные тексты портала aomai.ru и даже посмотреть их. И обнаружил я там грубейшую для преподавателя, который ведет предметы связанные с защитой компьютерной информации, ошибку. А ошибка заключается в следующем:
Вы формируете SQL запрос обычной конкатенацией строк.
Например:

"SELECT * FROM users WHERE login='"+login+"' AND pass='"+crcPass(pass)+"'"

На первый взгляд все отлично: пользователь вводит в форму свой логин и пароль, далее выполняется запрос к БД, на него возвращается информация пользователя его name1, name2, email, icq и т.д., или ничего не возвращается если логин или пароль не верные. А теперь представим себе ситуацию когда пользователь вводит не свой логин, а, скажем следующую строчку

' OR login='gulaev' OR login='

и любой не пустой пароль. Уже догадываетесь, что произойдет?! А я вам подскажу: после того как пользователь так сделает, то мы получим следующий запрос

"SELECT * FROM users WHERE login='' OR login='gulaev' OR login='' AND pass='"+crcPass(pass)+"'"

Данный запрос выполнится и вернет данные пользователя, у которого логин gulaev, к примеру, и нет никакой разницы, какой пароль написал пользователь, главное чтобы он был не пустой. Надеюсь вы сможете исправить данную ошибку в скором времени

Надеюсь вы сможете исправить данную ошибку в скором времени

Спасибо за замечание. Ошибка исправлена.