Pue*_*AGP 2 php mysql json pdo
如果我不给每个列名起别名,那么使用 fech assoc 将 json 编码的 mysql 数据集传递给 javascript 可以暴露表列名。那么问题是,将列名公开为 json 对象属性是否存在安全风险?
我一直在使用 PDO 准备好的语句。
Bil*_*win 5
单独暴露列标识符应该不会带来很高的安全风险。安全问题是,如果您允许 SQL 注入攻击,即使您的应用程序中只有一种情况,有人也可以利用有关列名称的知识来加速发现如何编写非法查询。
但他们无论如何都可以找到列,因为如果他们可以通过 SQL 注入运行任意 SQL,他们就可以查询您的 INFORMATION_SCHEMA 并找出他们需要的任何内容。
如果您确信查询执行已安全完成,那么应该没问题。
归档时间:
11 年,2 月 前
查看次数:
632 次
最近记录: