我刚遇到一位开发人员,他在MYSQL数据库中使用下划线(例如_users,_name,_active)添加了每个表名和列名。当我质疑这种做法时,他说这有助于防止SQL注入攻击 - 我以前从未遇到过这种做法/建议。它如何有助于防止SQL注入攻击?
答案 0 :(得分:29)
没有
他的想法是“如果攻击者不知道我的桌子的名字,那么攻击者就不会搞砸他们。”但是,您仍然容易受到SQL注入攻击,并且攻击者仍然可能导致任意系统调用,可能是众所周知的系统表。如果他添加一些SQL代码会导致对服务器停滞不前的系统表进行非常长的查询,该怎么办?
通过默默无闻的安全根本不是安全。
答案 1 :(得分:4)