将HTML表单名称与表字段名称相同,这被认为是不好的做法吗?我正在构建一些动态的sql插入查询,目前我正在使用一些正则表达式将名称更改为相关的数据库字段,我认为它可能不安全,否则,您的意见是什么?
答案 0 :(得分:4)
我写了一个函数来为我做INSERT次查询,这取决于这个事实。它将$_POST个变量名称和INSERT它们放入相应的列中。
正如对OP的评论中所述,无关紧要,在大多数情况下,如果您使用first_name, firstname,或first. <,可以节省您回忆的时间/ p>
另外,请记住,您的用户永远不会看到数据库列名称,并且只有在查看源时才会看到表单名称。因此,不用担心!
祝你好运!答案 1 :(得分:0)
我认为这可以帮助您减少需要执行的编码。即使它看起来像一个漏洞,最重要的是检查用户的恶意数据值。我不认为这可能是有害的,因为你知道你使用哪些数据库字段并没有给黑客带来太多帮助。他们仍然需要入侵数据库服务器才能访问您的数据。
答案 2 :(得分:0)
名称应该足够可读,以便您阅读,但“不可预测”(缺少更好的术语)足以让攻击者无法猜出私人部分。
表单名称并不重要,但密码字段的一个好名称是the_users_password或passphrase_for_account。