我正在构建一个包含大量jquery / ajax的php网站。基本上该网站是一个简单的博客,我在首页上显示最后10个数据库条目及其相应的标题。然后,用户可以单击标题(将其重新路由到site.com/blog?cid=76),然后查看完整的博客条目。
基本上,显示76对应于数据库中的blog_id是否有任何数据库安全风险?我应该让事情变得更加安全吗?如果是这样,我将如何做到这一点呢?
答案 0 :(得分:1)
没有安全问题。
这类似于告诉我们这篇文章的ID:
stackoverflow.com/questions/的 11379226 /隐藏表-IDS-IN-A-网站
它只是告诉用户它是哪个帖子。
答案 1 :(得分:1)
您实现它的方式迫使您无论如何都要传递博客条目的ID:无论是在POST还是在GET请求中。如果应用程序足够安全,那么传递id应该没有问题。你唯一能做的就是在GET请求中更加模糊地传递id:
例如:site.com/blogs/disp/76
答案 2 :(得分:0)
是的,存在风险。您需要了解并理解SQL注入。 PHP提供了几种可用于帮助防止此类攻击的方法。
此站点提供了SQL注入的良好解释和帮助防止它的方法:
http://rosstanner.co.uk/2012/01/php-mysql-preventing-mysql-injection/