0
我正在開發一個寵物項目。我有一個PHP類。在HTML中,我創建了該對象的實例。所以同一頁面可以包含很多實例。現在,我必須進行ajax調用。 ajax調用基於對象的實例。在ajax調用中發送的數據可以包含數據庫表的名稱等。我想知道這是多麼安全。有什麼想法嗎?在AJAX中使用PHP對象值
A
回答
1
攻擊者想知道:
- 怎麼滑的東西,
- 如何在滑
你放棄2號免費。
1
最好調用一個函數,它知道要查詢的數據庫的字段並將傳遞的值作爲參數。
0
好,考慮這種情況下:
a)您有一個JavaScript函數,它的AJAX調用您的服務器上執行一個查詢,它是這樣的:
function doQuery(tablename, fieldname, whereclause) { ... }
b)在服務器,動態地使用AJAX調用的經過參數生成一個查詢:
$query = "SELECT $fieldname FROM $tablename WHERE $whereclause";
什麼是從注入阻止惡意用戶在您的AJAX函數的調用與
fieldname = '*'
tablename = 'mysql.user'
whereclause = '1=1'
你最終
SELECT * from mysql.user WHERE 1=1
和你的整個MySQL用戶名/密碼,集合去高高興興地出了門。
永遠永遠不會允許用戶提供的數據控制你的代碼執行什麼操作,特別是當涉及到與「外部」系統(如數據庫)的接口時。
相關問題
- 1. POST對象使用AJAX到PHP
- 2. 使用ajax和php的對象
- 3. javascript對象到PHP使用jquery AJAX
- 4. 使用ajax將對象類型值傳遞到php頁面jquery
- 5. 使用ajax和javascript對象將值傳遞給另一個php ..?
- 6. 在AJAX中使用JSON對象
- 7. 從ajax調用中檢索json_encoded的PHP對象值?
- 8. ajax請求到php對象
- 9. PHP中的值對象
- 10. 使用Ajax的PHP類值
- 11. Javascript中使用對象值
- 12. 幫助在PHP中使用JSON對象?
- 13. PHP對象和JQUERY AJAX調用
- 14. 使用PHP在對象中設置公共值
- 15. 使用jQuery .ajax函數從嵌套JSON對象中檢索值
- 16. Django:使用Ajax獲取模板中的數據庫對象值
- 17. 在PHP中使用jquery Ajax
- 18. 在對象方法中返回值或在對象方法中設置值? PHP
- 19. 在PHP中使用子對象克隆對象
- 20. 在PHP中使用對象ID解析指針對象
- 21. 使用值對象
- 22. 通過Ajax在PHP文件中調用MySQL連接singleton對象
- 23. 在AJAX調用中從PHP返回JSON對象?
- 24. Ajax調用返回空值的對象
- 25. 用PHP創建對象而不用變量賦值使用PHP
- 26. 如何在javascript中使用對象值作爲對象名稱?
- 27. 在Ajax調用中傳遞Json.Net對象
- 28. 如何使用JQuery-AJAX,JSON和PHP發送和接收對象或值?
- 29. 無法使用AJAX調用從JSON對象獲取值
- 30. 使用'this'使對象中的值爲
我明白你的觀點。但唯一的問題是表名是對象實例的參數。我根本不知道如何傳遞這個表名。 – abhisek 2011-01-26 04:01:32