我一直在与使用AJAX的人一起调用数据库中的结果来刷新结果表,而不是重新加载HTML页面。
数据从PHP脚本作为JSON发送,但这暴露了SQL数据库中使用的字段名称。
这在安全方面是否需要担心?就个人而言,我觉得客户端可以看到提交的名称感到不舒服。
也许这就是现在的工作方式,或者是否可以在PHP中完成可以减少任何潜在风险的事情?
答案 0 :(得分:1)
你可以很容易地隐藏这样的东西。例如,您可以调用getData.php?type=employees并通过对type值做出反应来检索数据。
当然,您必须在查询中使用别名来隐藏真实字段名称。
示例:
select employee__name as Name from employees
我从不在客户端脚本中显示字段名称。