0

如果我有一个使用注释掉的 html 表单<!-- form -->

哪个输入字段未经过清理,有人可以使用这些字段对数据库进行错误查询吗?例如使用萤火虫,有人可以删除<!--并使用这些输入字段来做一些讨厌的事情吗?

4

3 回答 3

1

根据处理表单的脚本,一个人当然可以在没有注释的情况下创建该表单的本地副本。事实上,如果他们知道输入名称和语义是什么,他们就可以完全创建自己的表单。没有很好的方法来检测表单提交是来自您的表单还是其他伪装成它的表单。

于 2012-09-06T13:14:05.453 回答
1

您发送给用户的所有信息都可以由他修改,因此如果您不希望他看到该信息,请不要将其注释掉,只需将其删除或用 php 注释掉即可。

如果您的数据库能够接收到“坏”查询,那就是编码错误,因为即使您没有向他发送任何表格,用户也可以发布自己的数据。即使您的 HTML 不允许,您也必须添加服务器端安全性(身份验证、检查用户权限、sql 注入...),因为用户无法修改服务器端代码。

于 2012-09-06T13:18:47.030 回答
0

不确定,但我会这样检查:从浏览器的元素检查器中编辑 HTML 并取消注释。如果那时你可以使用它,你可能会被黑客入侵。

于 2012-09-06T13:14:18.913 回答