HTML フォームの名前にテーブルのフィールド名と同じ名前を付けることは悪い習慣と見なされますか? 私はいくつかの動的SQL挿入クエリを作成しています.現在、いくつかの正規表現を使用して、名前を関連するデータベースフィールドに変更しています.そうしないと安全ではない可能性があると感じています.あなたの意見は何ですか?
2060 次
3 に答える
4
私はクエリを実行する関数を作成しINSERTましたが、それはその事実に依存しています。$_POST変数名を受け取り、INSERTそれらを対応する列に入れます。
OPのコメントで述べたように、それは問題ではなく、ほとんどの場合、使用したかどうかを思い出す時間を節約できfirst_name, firstname,ますfirst.
また、ユーザーにはデータベースの列名が表示されず、ソースを表示した場合にのみフォーム名が表示されることに注意してください。したがって、心配する必要はほとんどありません。
幸運を!
于 2012-07-28T21:27:36.987 に答える
0
これにより、必要なコーディングを減らすことができると思います。脆弱性のように見えますが、最も重要なことは、ユーザーから送信された値に悪意のあるデータがないかどうかを確認することです。使用している DB フィールドを知っていても、ハッカーにはあまり役に立たないので、害があるとは思いません。データにアクセスするには、DB サーバーにハッキングする必要があります。
于 2012-07-28T21:27:29.073 に答える
0
名前は、ユーザーが読めるほど読みやすいものである必要がありますが、攻撃者がプライベートな部分を推測できないほど「予測できない」(適切な用語がないため) 必要があります。
フォーム名はそれほど重要ではありませんが、パスワード フィールドの適切な名前はthe_users_passwordまたはpassphrase_for_accountです。
于 2012-07-28T21:28:21.967 に答える