将 HTML 表单名称与表字段名称同名是否被认为是不好的做法?我正在构建一些动态 sql 插入查询,目前我正在使用一些正则表达式将名称更改为相关数据库字段,因为我觉得否则可能不安全,您有什么意见?
问问题
2060 次
3 回答
4
我写了一个函数来INSERT为我做查询,这取决于这个事实。它采用$_POST变量名称并将INSERT它们放入相应的列中。
正如对 OP 的评论中所说,这没关系,并且在大多数情况下,可以节省您回过头来记住您是否使用过first_name, firstname,或first.
另外,请记住,您的用户永远不会看到数据库列名,他们只会在查看源代码时看到表单名称。因此,没有太多可担心的!
祝你好运!
于 2012-07-28T21:27:36.987 回答
0
我认为这可以帮助你减少你需要做的编码。尽管它看起来像一个漏洞,但最重要的是检查来自用户的值是否存在恶意数据。我不认为这可能是有害的,因为知道您正在使用哪些数据库字段并没有给黑客带来太多帮助。他们仍然需要侵入数据库服务器才能访问您的数据。
于 2012-07-28T21:27:29.073 回答
0
这些名称应该足以让您阅读,但“不可预测”(缺少更好的术语)足以让攻击者无法猜测私有部分。
表单名称并不重要,但密码字段的好名称是the_users_passwordor passphrase_for_account。
于 2012-07-28T21:28:21.967 回答