22

我刚刚遇到一个开发人员,他在他的 MYSQL 数据库中的每个表和列名前都加上下划线(例如 _users、_name、_active)。当我质疑这种做法时,他说这有助于防止 SQL 注入攻击——我以前从未遇到过这种做法/建议。它如何帮助防止 SQL 注入攻击?

4

2 回答 2

29

不。

他的想法是“如果攻击者不知道我的表的名称,那么攻击者就无法弄乱它们。” 但是,您仍然容易受到 SQL 注入的攻击,并且攻击者仍然可以导致任意系统调用,可能是对众所周知的系统表。如果他添加了一些 SQL 代码,导致对系统表进行很长时间的查询,从而使您的服务器陷入瘫痪,该怎么办?

通过默默无闻的安全根本不是安全。

于 2012-11-19T16:57:31.633 回答
4

_this_这里与安全无关,因此它很容易受到攻击

好读

防止SQL注入的最佳方法?

于 2012-11-19T16:59:22.610 回答