HTML フォームの名前にテーブルのフィールド名と同じ名前を付けることは悪い習慣と見なされますか? 私はいくつかの動的SQL挿入クエリを作成しています.現在、いくつかの正規表現を使用して、名前を関連するデータベースフィールドに変更しています.そうしないと安全ではない可能性があると感じています.あなたの意見は何ですか?
3 に答える
私はクエリを実行する関数を作成しINSERT
ましたが、それはその事実に依存しています。$_POST
変数名を受け取り、INSERT
それらを対応する列に入れます。
OPのコメントで述べたように、それは問題ではなく、ほとんどの場合、使用したかどうかを思い出す時間を節約できfirst_name,
firstname,
ますfirst.
また、ユーザーにはデータベースの列名が表示されず、ソースを表示した場合にのみフォーム名が表示されることに注意してください。したがって、心配する必要はほとんどありません。
幸運を!
これにより、必要なコーディングを減らすことができると思います。脆弱性のように見えますが、最も重要なことは、ユーザーから送信された値に悪意のあるデータがないかどうかを確認することです。使用している DB フィールドを知っていても、ハッカーにはあまり役に立たないので、害があるとは思いません。データにアクセスするには、DB サーバーにハッキングする必要があります。
名前は、ユーザーが読めるほど読みやすいものである必要がありますが、攻撃者がプライベートな部分を推測できないほど「予測できない」(適切な用語がないため) 必要があります。
フォーム名はそれほど重要ではありませんが、パスワード フィールドの適切な名前はthe_users_password
またはpassphrase_for_account
です。