我理解清理所有数据和引用数据等的好处,但我想知道http是否允许子域可以为SQL注入使用正确的字符。
答案 0 :(得分:3)
你的意思是http://%27%3B%20delete%20table%20users%3B%20commit%3B.example.com?
我猜你有一个通配符DNS条目,并将子域作为一种输入形式。如果是,那么是的,它是用户生成的输入,你必须像其他任何东西一样怀疑它。即使我们这里的所有人都没有能够为这个问题提出一个真实的例子,但这并不意味着一个更加坚定的人会花更多的时间在它上面。
是否存在反对转义/处理/检查子域名的参数?
答案 1 :(得分:2)
您不应该“清理”或引用您的数据以避免SQL注入。您应该使用查询参数。