我创建了一个包含产品详情的网页(每页15,30或45个)。 用户可以通过评论,价格等进行重新排序,并可以选择品牌,重量等。 我正在使用Ajax将查询发送到外部页面..这很危险吗? 什么是另一种确保我不受攻击的方法?
答案 0 :(得分:0)
在您的API中,确保您正在审核来自客户端的请求。检查边界,确保它没有格式错误,确保它符合您的预期。如果它无效,请向客户发回适当的回复(403/404 / etc)......如果它有效,则发回过滤后的结果。
答案 1 :(得分:0)
您不应该从客户端发送原始SQL。只需发送表单字段的值,并在服务器上的PHP脚本中使用它们来构造SQL查询。
有关从表单字段动态生成WHERE子句的技术,请参阅https://stackoverflow.com/a/28909923/1491895。类似的方法可以用于ORDER BY子句。