ajax呼び出しでSQLクエリを使用するだけで何か問題がありますか?たとえば、次のようなものです。
$.ajax({
type: "POST",
url: "queryhandler.php",
data: { query: "INSERT INTO users VALUES(incontrol, drowssap)" },
dataType: "json",
success: function (data) {
if (typeof callback == 'function')
callback(data);
}
);
これはアドバイスされていませんか?もしそうなら、なぜですか?
これは非常に悪い考えです。AJAXから直接SQLクエリを作成できる場合。これは、Webサイトを使用する誰よりもクライアント側のテクノロジです。結果を返す場合、これは、サイトの全員がデータを追加/削除/変更し、テーブル構造を操作できる可能性があるだけでなく、データベースからプライベートデータまたは機密データを抽出できることを意味します。
はい、いくつかの理由があります。
a。データを読み取って操作するための「ハッカー」への直接インターフェースを提供します。
b。操作されたクエリを除外するホワイトリストをサーバー側に追加した場合でも、データベース構造(またはその一部)を公開することで、攻撃者をより標的にすることができます。
はい、これは間違っています。ハッカーをサイトに招待してWebサイトをハッキングしているからです。