0
我儘量避免爲每個更新或插入寫入SQL代碼。相反,PHP函數接受一些參數(添加或更改,tablename,fields-list)並從中構建SQL。這與使用參數化語句(mysqli)的首選方法類似但不完全相同。通過參數構建SQL字符串的一個函數。安全風險?
我的創造SQL的方式在黑客面前留下了燦爛的笑容嗎?
A
回答
0
哦是的 - 見Wikipedia,強制性xkcd reference。
1
如果允許任何用戶輸入被添加到SQL查詢中,這只是一個安全風險。如果您使用的是源代碼中定義的常量參數,但您的網站用戶的實際值應該始終使用綁定參數,並且不會直接添加到SQL查詢中,那麼您可以很好。
0
是的,除非您可以投入大量資源來測試您的濫用/濫用功能,否則存在安全風險。
還有其他一些因素需要考慮。構建動態SQL降低了數據庫緩存查詢的能力 - 每次調用函數時,查詢都將被解析爲新的查詢。這可能會對性能產生重大影響。使用綁定參數不會產生相同的問題,因爲數據庫可以將參數識別爲查詢的可變部分。
相關問題
- 1. WordPress - 安全風險?
- 2. 可以image.src是一個安全風險?
- 3. 字符串構造函數參數
- 4. JavaScript,通過JSON傳遞用戶ID是一種安全風險?
- 5. 如何創建一個字符串在C通過字符串連接函數參數
- 6. PHP過濾器和安全風險
- 7. 的Javascript:如何通過使用字符串參數的函數作爲參數傳遞給另一個函數
- 8. 通過參數+安全的數據源
- 9. 構建一個可擴展的不同參數的字符串
- 10. AHAH是安全風險嗎?
- 11. 通過字節數組構造虛擬函數的結構是否安全?
- 12. 通過URL傳遞GUID的安全風險
- 13. 用格式函數中的另一個字符串構建字符串?
- 14. 構建多參數查詢字符串
- 15. 個人使用泡椒安全風險
- 16. 多個提交按鈕安全風險
- 17. 通過一系列路由器鏈接構建查詢字符串參數
- 18. 試圖通過字符串函數參數爲SVG
- 19. 擴展幫手 - 通過SPCAF/ESLint識別安全風險?
- 20. 構建一個字符串以$設置參數傳遞
- 21. PHP安全性:評估用戶輸入的字符串的風險
- 22. DbContext字符串構造函數超過128個字符
- 23. 通過查詢字符串參數
- 24. 建立一個SQL查詢字符串PHP參數
- 25. 評估在查詢字符串中暴露行標識的安全風險
- 26. C++通過構件函數作爲另一個的成員函數的參數
- 27. 將整個網址作爲參數發送有沒有安全風險?
- 28. 參考將其通過另一函數創建一個數組
- 29. Python的傳遞函數的參數爲一個字符串
- 30. 如何通過函數傳遞一個字符串C++