質問があります...... POST と GET をサニタイズして、人々があなたのウェブサイト / DB に対して厄介なことをするのを止める必要があると思いますが、私は混乱しています.....私はウェブサイトで次を見ました私は質問をするだろうと思った。
ミスターハッカーは、ドロップするテーブルが Students と呼ばれていることをどのように知るのでしょうか? この状況では、学校であるため、おそらくそれほど苦労することはないでしょうが、この種のコードは、実行時に非表示になっていると思いました。 PHPファイルで....だから、テーブルにあいまいなものに名前を付けた場合、攻撃はテーブル名が何をドロップするかをどのように知るのでしょうか?.
SHOW TABLESはい、隠されていますが、このような脆弱性がある場合は、必要なクエリを実行できます。SHOW COLUMNS ..
経験則では、後悔するよりも常に安全である方が良いということです! すでに述べたように、攻撃者はデータの内容を出力するか、画像に従って削除する可能性があります。PHP コードはビューから隠されていますが、何らかのエラー出力や、何らかの理由で PHP モジュールがアンロードされた場合など、そうではない場合があります。その後、ソース コードが表示されます。
多分これは質問に答えないかもしれませんが、私は正確にしたいと思います.テーブルの削除、データベースの破壊、およびその他の大惨事を避けるためだけに、誰もがユーザー入力の「サニタイズ」について話します.
私が伝えられていないのは、サニタイズはあなたの質問を保護することであるという事実です. ハッカーや悪魔からではなく、O'Reilly という名前のかわいそうな人、または引用符を含むその他のユーザー提供データのためだけです。
その引用はあなたのクエリを完全に壊す可能性があります。そして、素晴らしい設計の Web アプリケーションを停止します。そして、それは悪意のあるものではありません。
したがって、クエリをサニタイズして、BREAKING を回避してください。これを行うと、それ自体がカテゴリである悪意のある破壊を防ぐこともできます。クエリはSTRINGSであり、引用符で区切られており、補間された引用符は単に文字列を終了すべきでない場所で終了させ、db 呼び出しでエラーが発生します。