Question

У хакера гораздо больше шансов попытаться внедрить этот запрос:

') DELETE FROM Users --

, чем этот:

') DELETE From Blargblarbglbglab--

Имеет ли плохое соглашение по именованию таблиц и столбцов хорошеедополнительная защита от впрыска Sql.

Andrew · Answer 1 · 15 августа 2011

Не очень хорошая техника / тактика, кроме того, что сделать вашу собственную жизнь очень трудной - если у вас есть уязвимость, которая позволяет им запрашивать таблицы и просматривать результаты в какой-либо форме, они могут внедрить запрос, чтобы посмотреть в представлениях information_schema /таблицы.

Таким образом, плохое присвоение имен происходит только по-своему, хакер не делает невозможным поиск имен таблиц.

Правильно защитите его с помощью правильного кодирования.практика.

Luis Siquot · Answer 2 · 15 августа 2011

Вы не должны называть переменные в строке запроса равными столбцам в БД, чтобы не предоставлять конфиденциальные данные всем.Кроме того, всегда очищает ваши данные

Грозный · Answer 3 · 15 августа 2011

Для правильной защиты от внедрения SQL вам необходимо убедиться, что «хакер» не может выполнить ни одного собственного запроса к базе данных.

Dmitry Alexandrov · Answer 4 · 15 августа 2011

Не думаю, что это может остановить хорошего хакера.По сети вы можете найти много лучших решений для вашего запроса.Если у вас нет опыта, в wikipedia.org есть подходящее описание и множество ссылок.

Neil Knight · Answer 5 · 15 августа 2011

Я нашел эту статью, и в ней довольно неплохо объясняется, как предотвратить атаки SQL-инъекций: o)

MySQL - SQL-инъекции

Если хакеру удалось атаковатьваш сайт, они смогут получить доступ к системным таблицам, поэтому не имеет значения, как и как вы называете таблицы / столбцы.Лучше всего избегать взломов SQL-инъекций.

cwallenpoole · Answer 6 · 15 августа 2011

Краткий ответ: технически да, но это плохая идея.Технически, лопата, полная грязи, может остановить наводнение, но это все равно уничтожит вас в конце концов.Длинный ответ: вы всегда должны избегать ваших данных. ВСЕГДА .Без исключений, КОГДА-ЛИБО .

Смешные имена таблиц только повредят вам время разработки и увеличат ваш технический долг гораздо больше, чем любая возможная выгода, которую это могло бы иметь.Это будет стоить вам времени, а , вероятно, приведет к увеличению количества ошибок, поскольку определенно труднее запомнить.

w0bni · Answer 7 · 15 августа 2011

Ваши пользователи никогда не должны иметь возможность выполнять какие-либо запросы, и поэтому неверные имена таблиц должны вас только смущать.

Является ли плохое соглашение по именованию таблиц и столбцов хорошей защитой от внедрения SQL

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 7 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Является ли плохое соглашение по именованию таблиц и столбцов хорошей защитой от внедрения SQL

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 7 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов