Я работаю над домашним проектом. У меня есть класс php. в HTML я делаю экземпляры этого объекта. Таким образом, одна и та же страница может содержать много экземпляров. теперь, я должен сделать ajax звонки. вызов ajax основан на экземплярах объекта. данные, отправленные в вызовы ajax, могут содержать имена таблиц базы данных и т. д. Мне было интересно, насколько это безопасно. Есть предположения?Использование значений объекта PHP в AJAX
ответ
Злоумышленник хотел бы знать:
- как-то в проскальзывать,
- что проскользнуть в
Вы разыгрываете номер-бесплатно..
Лучше вызвать функцию, которая знает поля БД для запроса и принимает переданные значения в качестве параметров.
Ну, рассмотреть этот случай:
а) У вас есть функция Javascript, что делает вызов AJAX для выполнения запроса на сервере, и это что-то вроде:
function doQuery(tablename, fieldname, whereclause) { ... }
б) На сервер, динамически построить запрос, используя переданные через параметры этого AJAX вызова:
$query = "SELECT $fieldname FROM $tablename WHERE $whereclause";
Что остановить злоумышленник инъекции вызов вашей функции AJAX с
fieldname = '*'
tablename = 'mysql.user'
whereclause = '1=1'
Вы в конечном итоге с
SELECT * from mysql.user WHERE 1=1
и вся ваша коллекция MySQL имя пользователя/пароль идет счастливо в дверь.
Никогда НИКОГДА НИКОГДА не позволяйте данным пользователя управлять тем, что делает ваш код, особенно когда речь идет о взаимодействии с «внешними» системами, такими как база данных.
- 1. Публикация значений с страницы PHP Использование Ajax
- 2. Передача значений объекта из php в jQuery
- 3. Извлечение значений объекта json_encoded PHP из вызова ajax?
- 4. Извлечение значений из объекта post ajax
- 5. Использование Ajax в классе PHP
- 6. Использование массива значений объекта в фоновой петле
- 7. Использование значений форм HTML для запроса AJAX/PHP MySqli
- 8. Использование оператора объекта в PHP
- 9. JavaScript: использование Ajax строка для создания объекта
- 10. Использование значений свойств объекта в операторах pdo pql
- 11. Передача объекта PHP через AJAX?
- 12. php, добавление ajax переданных значений в переменную
- 13. Получение значений из объекта запроса в php
- 14. извлечения значений из StdClass объекта в PHP
- 15. Назначение динамических значений свойствам объекта в PHP
- 16. Использование AJAX для отправки значений формы в базу данных
- 17. Использование $ это, когда не в контексте объекта в Ajax
- 18. объект объекта в php от ajax?
- 19. Использование Ajax для отображения значений асинхронной функции
- 20. Настройка выбранных значений Использование Ajax на выбор2
- 21. Использование JavaScript-объекта. для получения значений
- 22. Использование метода для изменения ссылочных значений объекта
- 23. Использование TryParse для установки значений свойств объекта
- 24. Использует ли использование AJAX использование памяти PHP?
- 25. Использование JQuery, AJAX и PHP
- 26. PHP использование переменной объекта класса
- 27. Использование JQuery Ajax с PHP
- 28. Использование ajax для вызова php
- 29. PHP - Использование нескольких значений в цикле Еогеасп
- 30. Использование значений из PHP в JavaScript
Я вижу вашу точку зрения. Но единственная проблема заключается в том, что имя таблицы является параметром для экземпляра объекта. Я просто не знаю, как передать это имя таблицы. – abhisek
Я предполагаю, что не именовать пользовательский параметр «table_name» сделает половину трюка =) – Vlad