Yid*_*nja 2 javascript sql database html5 sanitize
因此,HTML5在客户端为我们提供了本地SQL数据库,如果你想编写一个select或insert,你就不再能够通过说明来解决第三方输入,$buddski = mysql_real_escape_string($tuddski)因为PHP解析器和MySQL桥很远.这是一个全新的SQLite世界,您可以在其中编写查询并使用JavaScript解析结果.
但是,虽然您可能没有将整个站点的数据库关闭,但是由于恶意注入攻击而导致其数据库损坏或被擦除的用户将会非常不安.
那么,在纯JavaScript中,最好的方法是逃避/清理您的输入,这样它们就不会对用户的内置数据库造成严重破坏?
小脚本?规格?任何人?
一旦你将计算完全委托给客户,游戏就结束了.即使您的脚本是防弹的,用户仍然可以在本地加载自己的脚本(对于一个良好的示例,请参阅GreaseMonkey) - 并绕过脚本自行访问客户端数据库.
在我看来,客户端数据库与不受信任的客户端(也就是说,几乎任何客户端)唯一有用的应用是镜像/缓存主服务器端db的部分 - 这样客户端就不必拉重复请求时网络上的数据(如果此类客户端数据库损坏,只需使其无效并再次从服务器加载数据).