foi*_*rth 22 mysql sql sql-injection
我刚认识了一个开发人员,他在MYSQL数据库中使用下划线(例如_users,_name,_active)添加了每个表名和列名.当我质疑这种做法时,他说这有助于防止SQL注入攻击 - 我以前从未遇到过这种做法/建议.它如何有助于防止SQL注入攻击?
And*_*ter 29
没有.
他的思维"如果攻击者不知道我的表的名称,那么攻击者不能惹他们." 但是,你仍然容易受到SQL注入,而攻击者仍然可以导致任意系统调用,或许是众所周知的系统表.如果他补充说,导致很长的查询针对停滞不前您的服务器的系统表中的一些SQL代码?
通过默默无闻的安全根本不是安全.