1
我明白,当用户提交的数据处于徘徊状态时,参数化查询是必不可少的,但是我的问题是这是否适用于用户TAMPERABLE数据?请求变量所需的PDO中的参数化查询?
因此,如果我们有一个像“... /?id = 1”这样的url,是否有必要使用$ id准备任何语句,或者将URL编码移除威胁?
Joe
A
回答
4
为什么不会您使用准备好的语句/ paramaterised查询所有情况下有外部/变量输入?
只有您可以查询信任是那些每个元素都是硬编码或从应用程序中的硬编码元素派生的元素。
甚至不信任您从您自己的数据库中提取的数据。这被视为外部/可变数据。复杂的攻击可以使用比简单的“修改查询字符串参数”更多的向量。
我认为对于少量额外的代码开销,完全值得您从知道得到的安心,您的查询受到保护。
0
Url encoding will not remove the threat。
任何用户可触摸的东西都应该被视为不安全和潜在的威胁。您通过id进行查询并不验证它,只是将其直接插入查询中,仍然可能导致与完全不使用PDO相同的注入问题。
相关问题
- 1. PHP PDO参数化查询MySQL的
- 2. PDO我什么时候需要参数化我的查询?
- 3. SQL查询请求参数
- 4. ASP.net MVC检查查询字符串参数对所有请求
- 5. 获取请求查询参数计数
- 6. 使用参数化查询缓慢SQLSRV PDO查询性能
- 7. 批量请求中的FQL多查询
- 8. 变化的查询字符串参数
- 9. 做与查询GET请求参数
- 10. 狂饮请求查询参数
- 11. 泽西DELETE请求与查询参数
- 12. 动态查询参数授权请求
- 13. 如何检查请求参数/查询参数是否在Spring MVC应用程序中的请求中传递?
- 14. 批量请求查询
- 15. ORA-01008:未绑定所有的变量(表适配器与参数化查询)
- 16. PDO参数化查询的工作方式
- 17. SQL查询不会接受所有参数的变量
- 18. 请求优化SQL查询的提示
- 19. 请求中的变量
- 20. Joomla中的请求变量
- 21. PHP PDO查询不能使用变量?
- 22. 将php变量绑定到pdo查询
- 23. php pdo更新与变量查询
- 24. 参数化的查询需要参数######这是不是提供
- 25. Redux axios操作包含功能请求中的变量参数
- 26. 如何接受Restler GET请求中的任意查询参数?
- 27. RESTful模型,摆脱GET请求中的ID查询参数
- 28. 忽略服务工作者请求中的查询参数
- 29. PHP数据库表查询帮助请求 - 字符串变量
- 30. ColdFusion的参数化查询
任何来自任何外部来源的数据都应进行参数化。虽然在'id'示例中,只需将其转换为整数即可安全处理。 *必须*以这种或那种方式进行消毒的事物包括(但不限于)'$ _GET','$ _POST','$ _COOKIE'(以及隐含的'$ _REQUEST'),'$ _SERVER','$ _ENV',从文件读取的任何数据,从数据库读取的任何数据。 – DaveRandom 2012-08-09 10:20:36
是的,我确实认为它需要准备,这是有道理的!感谢所有 – 2012-08-09 10:30:23
每一本书,文章,博客......你都会阅读这篇文章,归结为这样一句话:_不要相信网络_。因此,请求参数不可信。是的,它需要准备 – 2012-08-09 10:37:49