Я работаю над домашним проектом. У меня есть класс php. в HTML я делаю экземпляры этого объекта. Таким образом, одна и та же страница может содержать много экземпляров. теперь, я должен сделать ajax звонки. вызов ajax основан на экземплярах объекта. данные, отправленные в вызовы ajax, могут содержать имена таблиц базы данных и т. д. Мне было интересно, насколько это безопасно. Есть предположения?Использование значений объекта PHP в AJAX
Злоумышленник хотел бы знать:
Вы разыгрываете номер-бесплатно..
Лучше вызвать функцию, которая знает поля БД для запроса и принимает переданные значения в качестве параметров.
Ну, рассмотреть этот случай:
а) У вас есть функция Javascript, что делает вызов AJAX для выполнения запроса на сервере, и это что-то вроде:
function doQuery(tablename, fieldname, whereclause) { ... }
б) На сервер, динамически построить запрос, используя переданные через параметры этого AJAX вызова:
$query = "SELECT $fieldname FROM $tablename WHERE $whereclause";
Что остановить злоумышленник инъекции вызов вашей функции AJAX с
fieldname = '*'
tablename = 'mysql.user'
whereclause = '1=1'
Вы в конечном итоге с
SELECT * from mysql.user WHERE 1=1
и вся ваша коллекция MySQL имя пользователя/пароль идет счастливо в дверь.
Никогда НИКОГДА НИКОГДА не позволяйте данным пользователя управлять тем, что делает ваш код, особенно когда речь идет о взаимодействии с «внешними» системами, такими как база данных.
Я вижу вашу точку зрения. Но единственная проблема заключается в том, что имя таблицы является параметром для экземпляра объекта. Я просто не знаю, как передать это имя таблицы. – abhisek
Я предполагаю, что не именовать пользовательский параметр «table_name» сделает половину трюка =) – Vlad