MYSQL データベースのすべてのテーブルと列の名前の先頭にアンダースコアを付けている開発者に会ったところです (例: _users、_name、_active)。私がその慣行に疑問を呈したとき、彼はこれが SQL インジェクション攻撃を防ぐのに役立つと述べました。SQL インジェクション攻撃の防止にどのように役立ちますか?
1470 次
2 に答える
29
No.
His thinking goes "If the attacker doesn't know the name of my tables, then the attacker can't mess with them." However, you're still vulnerable to SQL injection, and the attacker can still cause arbitrary system calls, perhaps to well-known system tables. What if he adds some SQL code that causes very long queries against a system table that bogs down your server?
Security through obscurity is no security at all.
于 2012-11-19T16:57:31.633 に答える
4
于 2012-11-19T16:59:22.610 に答える