处理laravel中的查询字符串及其安全性

时间:2019-07-16 13:12:55

标签: php laravel api

我想知道处理带有查询字符串的帖子请求的安全性,如果不安全,如何禁用用户向我的api发送任何查询字符串的原因,现在无论该用户如何,都可以发送任何查询字符串是正确的查询字符串还是错误的字符串,最后可以

$request->get('somekey');

从主体获取数据而不是参数(从Post man应用发送)

2 个答案:

答案 0 :(得分:1)

如果您正在谈论SQL注入,那么Laravel已经意识到了这一点。 Laravel的Eloquent ORM使用PDO参数绑定,因此可以避免任何SQL查询字符串。

要了解更多信息,请查看以下链接:https://www.easylaravelbook.com/blog/how-laravel-5-prevents-sql-injection-cross-site-request-forgery-and-cross-site-scripting/

答案 1 :(得分:1)

此角色不属于Laravel,而是服务器。要不接受查询字符串,您需要在Nginx或Apache中进行配置。

https://serverfault.com/questions/707285/remove-query-string-from-url

https://www.linuxquestions.org/questions/linux-server-73/%5Bapache%5D-how-to-block-a-query-string-4175586473/