多くのjquery / ajaxを使用してphp Webサイトを構築しています。基本的にこのサイトはシンプルなブログで、最新の 10 件のデータベース エントリとそれに対応する見出しをフロント ページに表示します。その後、ユーザーは見出し (site.com/blog?cid=76 にリダイレクトされます) をクリックして、完全なブログ エントリを表示できます。
基本的に、データベースの blog_id に対応する 76 を表示すると、データベースのセキュリティ上のリスクはありますか? 物事をより安全にする必要がありますか?もしそうなら、どうすればそれを行うことができますか?
セキュリティ上の問題はありません。
これは、この投稿の ID を伝えるのと似ています。
stackoverflow.com/questions/ 11379226 /hiding-table-ids-in-a-website
それがすることは、それがどの投稿であるかをユーザーに伝えることだけです。
実装した方法では、とにかくブログ エントリの ID を渡す必要があります。POST であれ、GET リクエストであれ。アプリケーションが十分に安全であれば、ID の受け渡しに問題はないはずです。あなたができる唯一のことは、GETリクエストで渡されるIDをもう少しあいまいにすることです:
たとえば、site.com/blogs/disp/76 のようなものです。
はい、リスクがあります。SQL インジェクションについて知り、理解する必要があります。PHP には、この種の攻撃を防ぐために使用できるメソッドがいくつか用意されています。
このサイトでは、SQL インジェクションとそれを防ぐための方法について適切に説明しています。
http://rosstanner.co.uk/2012/01/php-mysql-preventing-mysql-injection/