如果我使用<!-- form -->
哪些输入字段未经过清理,有人可以使用这些字段对数据库进行错误查询吗?例如,使用firebug,有人可以删除<!--并使用这些输入字段做一些讨厌的事情吗?
答案 0 :(得分:1)
根据处理表单的脚本,一个人当然可以在没有注释的情况下创建该表单的本地副本。实际上,如果他们知道输入名称和语义是什么,他们可以完全创建自己的形式。没有好的方法来检测表单提交是否来自您的表单或其他伪装的表单。
答案 1 :(得分:1)
您发送给用户的所有信息都可以由他修改,因此如果您不希望他看到该信息,请不要将其注释掉,只需将其删除或使用php注释掉。
如果您的数据库能够收到“错误”的查询,则表示编码错误,因为即使您没有向他发送任何表格,用户也可以发布自己的数据。即使您的HTML不允许,您也必须添加服务器端安全性(身份验证,检查用户权限,SQL注入...),因为用户无法修改服务器端代码。
答案 2 :(得分:0)
不确定,但我会这样检查:从浏览器的元素检查器编辑HTML并取消注释。如果那时你可以使用它,你就可能被黑了。