那些遇到过的问题

通过AJAX注入受控HTML是一个安全问题?

TCC*_*CCV 4 php xml database security ajax

我在这里有一个特定的案例,我想要一些安全建议.基本上我的问题是"如果我控制数据库中的内容(没有用户提交数据),是否存在安全问题以返回HTML中的数据库查询结果(通过AJAX)"?

这是正在发生的过程:

  1. 每日构建生成一个XML文档
  2. 我的服务器检索此XML文档,解析它(使用PHP)并将其输入数据库.
  3. 用户进入站点,发送AJAX请求(参数包括要返回的结果数,如何排序以及必要时的搜索项)
  4. PHP脚本查询数据库,将结果返回给AJAX回调
  5. AJAX回调将结果注入页面以供查看

非常标准的东西......

更多背景:我使用准备好的SQL语句,因此限制用户提供的搜索查询和任何URL篡改来创建任意查询.XML文件只是字母数字,没有代码.我想要返回HTML的原因是尽可能地限制客户端工作,使用HTML,没有必要用JS来生成页面(除了使用jQuery来注入html块).

对我有什么建议吗?

先感谢您.

PS - 这还处于规划阶段,因此没有真正的代码可供展示.

Aar*_*run 6

只要您控制输入100%,注入或XSS攻击的风险就很小.无论您采取何种安全措施,都可能发生任何可能发生的攻击,例如更换部分或通过电线注入响应.

保持数据库安全.

归档时间:

查看次数:

153 次

最近记录:

15 年,5 月 前
相关归档
什么是标准化的UTF-8? 125
如何在<string> XML(eclipse/android)中创建一个新行或制表符? 94
"对于类型create,方法setListAdapter(ArrayAdapter)未定义" 23
Phpunit覆盖:'addUncoveredFilesFromWhitelist'和'processUncoveredFilesFromWhitelist'选项之间有什么区别? 21
如何使用Visual C#2010连接和使用Firebird db嵌入式服务器 12
jQuery中的并行AJAX请求 11
Class :: DBI的未来是什么? 7
是否有一个SQLAlchemy相当于django-evolution? 6
Android RSA 密钥长度 6
NodeJS如何获取服务器中的数据,通过POST从jquery ajax调用发送 5
难疑归档
如何检查字符串是否包含JavaScript中的子字符串? 7430
为什么减去这两次(在1927年)给出一个奇怪的结果? 6628
如何在另一个JavaScript文件中包含JavaScript文件? 4904
如何使用保存实例状态保存Android Activity状态? 2538
如何动态合并两个JavaScript对象的属性? 2338
什么是C ??!??!操作员呢? 1911
将零填充到字符串的最好方法 1309
const和readonly有什么区别? 1269
在HTML中嵌入PDF的推荐方法? 1128
git:撤消所有工作目录更改,包括新文件 1108