- 我正在按名称搜索购物清单。如果名称匹配,则显示数据库中的所有可用项目。使用帖子请求实施搜索是不好的做法吗?我已经检查过它完全正常工作而且不能注射。
- 一个额外的问题,如果搜索字段容易受到sql注入,用户是否可以删除(删除)表?
提前致谢。
答案 0 :(得分:0)
以这种方式编码是不错的做法。另一种选择是使用返回数据的REST调用来使用异步JavaScript。但无论哪种方式,您都会通过网络请求访问数据库。
如果您的代码允许SQL注入,那么攻击者可以对用于创建连接的用户帐户所允许的数据库执行任何操作 - 包括可能删除表。
防止SQL注入的一种常见方法是使用参数化查询构建所有SQL语句,例如使用JDBC或ODBC实现的查询。从头开始构建SQL时要小心。