我正在用大量的jquery/ajax构建一个php网站。基本上,这个网站是一个简单的博客,我在首页上显示最后10个数据库条目及其相应的标题。然后,用户可以点击标题(将其重新路由到site.com/blog?cid=76),然后查看完整的博客条目。
基本上,在数据库中显示与blog_id对应的76是否存在数据库安全风险?我应该让事情变得更安全吗?如果是,我该怎么做?
不存在安全问题。
这类似于告诉我们这篇文章有什么id:
stackoverflow.com/questions/11379226/hiding-table-ids-in-a-website
它所做的只是告诉用户它是哪个帖子
实现它的方式迫使您无论如何都要传递博客条目的id:无论是在POST中还是在GET请求中。如果应用程序足够安全,那么传递id应该不会有问题。唯一可以做的就是在GET请求中使id传递得更模糊一点:
类似于:site.com/blogs/disp/76,例如
是的,存在风险。您需要了解并理解SQL注入。PHP提供了一些方法,可以用来帮助防止这种类型的攻击。
这个网站提供了一个很好的解释SQL注入和方法来帮助防止它:
http://rosstanner.co.uk/2012/01/php-mysql-preventing-mysql-injection/