Der*_*erg 10 javascript php mysql security
我有一个ajax方法,其实际上是这样的
function getRow(tableName, idName, idValue, callback)
这样做的明显好处是我有一个可以从任何表中检索数据的函数.然而,这只是觉得从安全的角度不对,它是一个安全风险这样做呢?实际读取/操作数据库的相应PHP文件是通过先前的身份验证过程来保护的,因此理论上,表名称在真空中的可见性不应该是风险(更不用说数据库只接受localhost连接),但是我想知道是否没有更好/更漂亮的方法来实现这一目标.
编辑:为了澄清身份验证过程,用户/角色安全性会阻止访问除用户明确允许的表之外的所有表.
SLa*_*aks 10
如果你确定你没有SQL注入漏洞,并且你永远不会,那就没关系.
如果您确实有SQL注入漏洞,它将使攻击者的工作更容易一些.
不言而喻(我希望)服务器端脚本必须使用可以通过此方法公开的表和列的白名单.
| 归档时间: |
|
| 查看次数: |
1091 次 |
| 最近记录: |