を使用してコメントアウトされたhtmlフォームがある場合<!-- form -->
サニタイズされていない入力フィールドがいくつかありますが、誰かがそれらを使用してデータベースに悪いクエリを実行できますか? たとえば、firebug の場合、誰かが<!--これらの入力フィールドを削除して使用して、厄介なことをすることができますか?
user796443
質問する
118 次
3 に答える
1
ユーザーに送信するすべての情報は、ユーザーが変更できるため、その情報をユーザーに見られたくない場合は、コメント アウトせずに削除するか、php でコメント アウトしてください。
また、データベースが「悪い」クエリを受信できる場合は、何かが間違ってコード化されているということです。フォームを送信しなくても、ユーザーは自分のデータを投稿できるからです。サーバー側のコードはユーザーが変更できないため、HTML で許可されていなくても、サーバー側のセキュリティ (認証、ユーザー権限のチェック、SQL インジェクションなど) を追加する必要があります。
于 2012-09-06T13:18:47.030 に答える
1
フォームを処理するスクリプトによっては、コメントなしでそのフォームのローカル コピーを確実に作成できます。実際、入力名とセマンティクスが何であるかを知っていれば、完全に独自のフォームを作成できます。フォームの送信が自分のフォームからのものなのか、それとも偽装されたものなのかを検出する良い方法はありません。
于 2012-09-06T13:14:05.453 に答える
0
確かではありませんが、この方法で確認します。ブラウザーの要素インスペクターから HTML を編集し、コメントを外します。使用できる場合は、ハッキングされる可能性があります。
于 2012-09-06T13:14:18.913 に答える