我正在构建一个包含大量 jquery / ajax 的 php 网站。基本上,该站点是一个简单的博客,我在首页显示最后 10 个数据库条目及其相应的标题。然后,用户可以单击标题(将其重新路由到 site.com/blog?cid=76),然后查看完整的博客条目。
基本上,显示与数据库中的 blog_id 对应的 76 是否存在任何数据库安全风险?我应该让事情变得更安全吗?如果是这样,我将如何去做?
问问题
71 次
3 回答
1
不存在安全问题。
这类似于告诉我们这篇文章有什么 id:
stackoverflow.com/questions/ 11379226 /hiding-table-ids-in-a-website
它所做的只是告诉用户它是哪个帖子。
于 2012-07-07T22:43:11.563 回答
1
您实现它的方式强制您传递博客条目的 id:无论是在 POST 还是在 GET 请求中。如果应用程序足够安全,则传递 id 应该没有问题。你唯一能做的就是让 id 在 GET 请求中传递得更隐蔽一点:
例如:site.com/blogs/disp/76
于 2012-07-07T22:45:57.003 回答
0
是的,有风险。您需要了解和理解 SQL 注入。PHP 提供了几种方法,您可以使用它们来帮助防止此类攻击。
该站点对 SQL 注入和防止它的方法提供了很好的解释:
http://rosstanner.co.uk/2012/01/php-mysql-preventing-mysql-injection/
于 2012-07-07T22:47:23.387 回答