0
我尽量避免为每个更新或插入写入SQL代码。相反,PHP函数接受一些参数(添加或更改,tablename,fields-list)并从中构建SQL。这与使用参数化语句(mysqli)的首选方法类似但不完全相同。通过参数构建SQL字符串的一个函数。安全风险?
我的创造SQL的方式在黑客面前留下了灿烂的笑容吗?
A
回答
0
哦是的 - 见Wikipedia,强制性xkcd reference。
1
如果允许任何用户输入被添加到SQL查询中,这只是一个安全风险。如果您使用的是源代码中定义的常量参数,但您的网站用户的实际值应该始终使用绑定参数,并且不会直接添加到SQL查询中,那么您可以很好。
0
是的,除非您可以投入大量资源来测试您的滥用/滥用功能,否则存在安全风险。
还有其他一些因素需要考虑。构建动态SQL降低了数据库缓存查询的能力 - 每次调用函数时,查询都将被解析为新的查询。这可能会对性能产生重大影响。使用绑定参数不会产生相同的问题,因为数据库可以将参数识别为查询的可变部分。
相关问题
- 1. WordPress - 安全风险?
- 2. 可以image.src是一个安全风险?
- 3. 字符串构造函数参数
- 4. JavaScript,通过JSON传递用户ID是一种安全风险?
- 5. 如何创建一个字符串在C通过字符串连接函数参数
- 6. PHP过滤器和安全风险
- 7. 的Javascript:如何通过使用字符串参数的函数作为参数传递给另一个函数
- 8. 通过参数+安全的数据源
- 9. 构建一个可扩展的不同参数的字符串
- 10. AHAH是安全风险吗?
- 11. 通过字节数组构造虚拟函数的结构是否安全?
- 12. 通过URL传递GUID的安全风险
- 13. 用格式函数中的另一个字符串构建字符串?
- 14. 构建多参数查询字符串
- 15. 个人使用泡椒安全风险
- 16. 多个提交按钮安全风险
- 17. 通过一系列路由器链接构建查询字符串参数
- 18. 试图通过字符串函数参数为SVG
- 19. 扩展帮手 - 通过SPCAF/ESLint识别安全风险?
- 20. 构建一个字符串以$设置参数传递
- 21. PHP安全性:评估用户输入的字符串的风险
- 22. DbContext字符串构造函数超过128个字符
- 23. 通过查询字符串参数
- 24. 建立一个SQL查询字符串PHP参数
- 25. 评估在查询字符串中暴露行标识的安全风险
- 26. C++通过构件函数作为另一个的成员函数的参数
- 27. 将整个网址作为参数发送有没有安全风险?
- 28. 参考将其通过另一函数创建一个数组
- 29. Python的传递函数的参数为一个字符串
- 30. 如何通过函数传递一个字符串C++