У меня есть конкретный случай, в котором я хотел бы получить совет по безопасности.По сути, мой вопрос: «Если я контролирую, что находится в базе данных (данные не отправлены пользователем), есть ли проблема безопасности при возврате результатов запроса к базе данных в HTML (через AJAX)»?
Вот процессчто происходит:
- ежедневная сборка генерирует документ XML
- Мой сервер получает этот документ XML, анализирует его (с помощью PHP) и вводит его в базу данных.
- Пользователь заходит на сайт, отправляется запрос AJAX (параметры включают количество возвращаемых результатов, порядок сортировки и, если необходимо, условие поиска)
- PHP-скрипт запрашивает базу данных, возвращая результаты обратному вызову AJAX
- Обратный вызов AJAX вводит результат на страницу для просмотра
Довольно стандартные вещи ...
Еще немного предыстории: я использую подготовленные операторы SQL, поэтому это ограничиваетпользовательский поисковый запрос и любое вмешательство в URL для создания произвольного запроса.Файл XML только буквенно-цифровой, без кода.Причина, по которой я хочу вернуть HTML, заключается в том, чтобы максимально ограничить работу на стороне клиента. В HTML нет необходимости суетиться с JS для генерации страницы (кроме использования jQuery для вставки блока html).
Любые предложения для меня?
Заранее спасибо.
PS - это все еще в стадии планирования, поэтому нет реального кода для показа.