Я младший PHP-разработчик, который в настоящее время работает над проектом с небольшой командой. Это первый раз, когда я работал в команде по проекту, поэтому я изучаю много и строию навыки работы в команде.Уязвимость уязвимости PHP-формы?
Есть одна конкретная вещь, которую я заметил, что мои коллеги-разработчики делают, и я считаю, что это может быть большой угрозой безопасности. При создании форм они будут указывать имя ввода в имени базы данных. Это означает, что везде, где публикуются данные, они могут использовать отличный для каждого цикла, проходящего через массив POST. Конечно, это довольно и легко, но я хочу, чтобы пользователи видели имена столбцов?
Я не уверен, что это создает угрозу безопасности (первое, что я думаю о SQL-инъекции), но если он делает то, что можно сделать?
Я полагаю, вы могли бы хэш имена входов? Тем не менее, это не полностью безопасно на 100%. Что делать, если на странице формы имена называются «apple64», «banana99», «chickens», а затем в файле PHP они преобразуются в соответствующие им имена столбцов?
Пункт моего вопроса состоит в том, чтобы найти общую практику для этой (возможной) уязвимости безопасности.
Когда вы вставляете пароль в db, он будет base64_encoded или используйте md5, чтобы ваш пароль был безопасным. Проверьте, не является ли он непустым или специальным символом html или html-сущностями, все это sql-инъекция –
imho, если вы не помните, доверяя вход пользователя и проверяя ввод, чем нет проблем с именованием полей, таких как столбцы. Более того, я считаю, что это хорошая практика. Это хороший способ для новых членов команды быстро интегрировать в код. Представьте себе, если бы каждое поле было снабжено хэшированным именем, тогда вам нужно было бы перевести каждый хэш для себя, чтобы узнать, что это такое. – DarkBee
@ DarkBee Конечно, это определенно случай, но безопасность всегда должна быть первой ИМО. Если это не представляет угрозы, но я полностью согласен с вами (что, я думаю, вы предлагаете) – jskidd3