我想知道处理带有查询字符串的帖子请求的安全性,如果不安全,如何禁用用户向我的api发送任何查询字符串的原因,现在无论该用户如何,都可以发送任何查询字符串是正确的查询字符串还是错误的字符串,最后可以
$request->get('somekey');
从主体获取数据而不是参数(从Post man应用发送)
答案 0 :(得分:1)
如果您正在谈论SQL注入,那么Laravel已经意识到了这一点。 Laravel的Eloquent ORM使用PDO参数绑定,因此可以避免任何SQL查询字符串。
要了解更多信息,请查看以下链接:https://www.easylaravelbook.com/blog/how-laravel-5-prevents-sql-injection-cross-site-request-forgery-and-cross-site-scripting/
答案 1 :(得分:1)
此角色不属于Laravel,而是服务器。要不接受查询字符串,您需要在Nginx或Apache中进行配置。
https://serverfault.com/questions/707285/remove-query-string-from-url