-3
Почему следующий код небезопасен?Почему следующий код небезопасен?
<?php $user = $db->query
("SELECT * FROM users WHERE username='".$_GET["username"]."'
AND password=MD5('".$_GET["password"]."');"); ?>
A
ответ
2
Метод GET передает закодированную информацию пользователя прилагается к запросу на страницу. Страница и закодированная информация разделяются символом? персонаж.
http://www.test.com/index.htm?name1=value1&name2=value2 Метод GET создает длинную строку, которая отображается в ваших журналах сервера, в поле «Расположение» браузера.
Метод GET предназначен для отправки только до 1024 символов.
Никогда не используйте метод GET, если у вас есть пароль или другая конфиденциальная информация для отправки на сервер.
GET не может использоваться для отправки на сервер двоичных данных, таких как изображения или текстовые документы.
Доступ к данным, отправленным методом GET, можно получить с помощью переменной окружения QUERY_STRING.
PHP предоставляет ассоциативный массив $ _GET для доступа ко всей отправляемой информации с использованием метода GET.
Метод POST передает информацию через HTTP-заголовки. Информация кодируется, как описано в случае метода GET, и помещается в заголовок QUERY_STRING.
Метод POST не имеет ограничений на размер данных, которые необходимо отправить.
Метод POST может использоваться для отправки ASCII, а также двоичных данных.
Данные, отправленные методом POST, проходят через HTTP-заголовок, поэтому безопасность зависит от протокола HTTP. Используя Secure HTTP, вы можете убедиться, что ваша информация защищена.
PHP предоставляет ассоциативный массив $ _POST для доступа ко всей отправляемой информации с использованием метода GET.
+1
2-я секция: Действительно? Я думал, что '_POST' пришел из POST,' _GET' из GET и '_REQUEST' из обоих? – glglgl
+2
Когда OP запросил разницу между GET и POST? если я не пропустил какую-либо историю изменений. Это, похоже, не имеет никакого отношения к вопросу о том, что этот код является небезопасным. –
Смежные вопросы
- 1. MYSQL небезопасен, но почему
- 2. Почему __caller__ небезопасен?
- 3. Почему метод Thread.stop() небезопасен?
- 4. Почему strncpy небезопасен?
- 5. Почему этот общий метод небезопасен?
- 6. Почему появляется следующий код:
- 7. Почему следующий код компилируется
- 8. Почему ArrayList в C# небезопасен?
- 9. Почему запрос параметров HTTP небезопасен
- 10. Почему следующий код печатает нуль?
- 11. Почему следующий код возвращает True?
- 12. Почему не работает следующий код?
- 13. Почему следующий код не так?
- 14. Почему следующий код имеет тупик?
- 15. Почему следующий код печатает 100?
- 16. Почему следующий код не анализируется?
- 17. Почему следующий код не компилируется?
- 18. Почему следующий код Haskell висит?
- 19. Почему следующий код не работает?
- 20. Почему следующий код не компилируется?
- 21. Почему следующий код печатает false?
- 22. Почему действует следующий код scala?
- 23. Почему следующий код показывает ошибку?
- 24. Почему следующий код не работает?
- 25. Почему следующий код не заканчивается?
- 26. Почему «example.it» безопасен и «www.example.it» небезопасен?
- 27. Почему WebSockets без Sec-WebSocket-Key1 небезопасен?
- 28. Почему следующий код c не работает?
- 29. Почему следующий код переходит в бесконечный цикл?
- 30. Почему следующий код вызывает мой компьютер?
Посмотрите на SQL-инъекцию – jeremy
Представьте, что я передаю это значение в '$ _GET [" username "]', ''; УДАЛИТЬ ОТ пользователей; --'. –
Вы можете ввести этот запрос и получить всю информацию о базе данных! – machineaddict