5

HTML フォームの名前にテーブルのフィールド名と同じ名前を付けることは悪い習慣と見なされますか? 私はいくつかの動的SQL挿入クエリを作成しています.現在、いくつかの正規表現を使用して、名前を関連するデータベースフィールドに変更しています.そうしないと安全ではない可能性があると感じています.あなたの意見は何ですか?

4

3 に答える 3

4

私はクエリを実行する関数を作成しINSERTましたが、それはその事実に依存しています。$_POST変数名を受け取り、INSERTそれらを対応する列に入れます。

OPのコメントで述べたように、それは問題ではなく、ほとんどの場合、使用したかどうかを思い出す時間を節約できfirst_name, firstname,ますfirst.

また、ユーザーにはデータベースの列名が表示されず、ソースを表示した場合にのみフォーム名が表示されることに注意してください。したがって、心配する必要はほとんどありません。

幸運を!

于 2012-07-28T21:27:36.987 に答える
0

これにより、必要なコーディングを減らすことができると思います。脆弱性のように見えますが、最も重要なことは、ユーザーから送信された値に悪意のあるデータがないかどうかを確認することです。使用している DB フィールドを知っていても、ハッカーにはあまり役に立たないので、害があるとは思いません。データにアクセスするには、DB サーバーにハッキングする必要があります。

于 2012-07-28T21:27:29.073 に答える
0

名前は、ユーザーが読めるほど読みやすいものである必要がありますが、攻撃者がプライベートな部分を推測できないほど「予測できない」(適切な用語がないため) 必要があります。

フォーム名はそれほど重要ではありませんが、パスワード フィールドの適切な名前はthe_users_passwordまたはpassphrase_for_accountです。

于 2012-07-28T21:28:21.967 に答える