我知道在处理服务器上的用户输入并将其插入数据库时,我们需要使用准备好的语句来防止SQL注入。
我注意到有关HTML的<input type="date">的一些信息
例如,当您选择日期时,在“检查”元素之后不显示值;但是,文本框,复选框等具有显示的值。您可以在try这里。
这是否意味着日期输入不易受到SQL注入的攻击,因为您无法修改其值?还是我走错了路?
答案 0 :(得分:1)
您走错了轨道,因为您错误地假设用户无法修改值,而实际上您只能证明一个非恶意用户不能轻易修改或篡改值。
这是两个非常不同的东西。
实际上,使用准备好的语句没有有效的例外。太多的教程和示例展示了如何使用字符串连接构建SQL语句,这真是一个悲剧。不应这样做。在某些情况下,从理论上讲它是安全的,但这不应该成为您思考过程的一部分。
即使您从自己的数据库中获得数据,您仍然不能信任它,也不必考虑某个值是否受SQL注入的影响,因为答案始终是 “是。”
唯一的问题是漏洞利用有多困难,可能涉及多少个间接层。
恶意用户通常不会按照您期望的方式使用您的应用程序。如评论中所述,诸如curl之类的命令行工具可用于向服务器提交与浏览器发送的请求没有区别的请求。来自客户的所有信息尤其令人怀疑,但即使不是来自外部的信息也应被认为具有潜在危险。