1
A
回答
2
隨機前綴使SQL注入攻擊很難猜測有效的表名。
這些攻擊通過將SQL代碼插入用戶輸入字段來工作。這些有時會欺騙後端服務器執行額外的SQL命令。如果攻擊者不知道表名,那麼他們不能寫入有效的SQL以這種方式注入。
1
攻擊者可以依賴於從應用程序到應用程序,如果你的表名的一致性有一個獨特的前綴,這幾乎就像有另一種類型的密碼,因爲攻擊者不能看到你命名你的表。否則,如果他們知道你的表名,並且他們找到了通過已知漏洞注入SQL的方法,那麼他們可以使用查詢中的表名來操作和/或轉儲所有數據。
相關問題
- 1. Spring安全性爲所有角色名稱添加前綴「ROLE_」?
- 2. 什麼時候添加了ctl00前綴?
- 3. 爲什麼Autoprefixer不會爲字體平滑添加前綴
- 4. 重命名/爲SimpleMembership表添加前綴
- 5. 用'+'操作符爲對象添加前綴是做什麼的?
- 6. 「Qt5Widgets」的安裝前綴添加到CMAKE_PREFIX_PATH
- 7. 如何添加「MITK」的安裝前綴
- 8. OpenStack的:添加安全規則失敗,原因是「默認」
- 9. Windows批處理爲文件名添加前綴,爲什麼添加兩次?
- 10. 什麼是表格前綴?
- 11. 爲什麼http.Client {}以前綴?
- 12. 原因爲ASP.NET安全例外
- 13. 爲什麼當我們需要添加android:前綴風格?
- 14. 笨escapeshellarg()已因安全原因禁止
- 15. 添加前綴個
- 16. 添加表前綴加入Codeigniter
- 17. 爲什麼認爲加密更安全?
- 18. 春天的oauth2表添加前綴名
- 19. CMake的添加前綴列表
- 20. 爲什麼前綴返回沒有特定前綴的文檔?
- 21. 爲Enum值添加前綴的好處?
- 22. 「movq」的後綴或操作數無效的原因是什麼?
- 23. sp.core.js未加載的原因是什麼?
- 24. 在Kotlin類中使用「Kt」後綴的原因是什麼?
- 25. 的XElement添加前綴只
- 26. 是什麼原因
- 27. 爲什麼Accept頭以HTTP_爲前綴?
- 28. 爲什麼TObject中的「T」前綴?
- 29. 爲什麼添加了非線程安全的java類?
- 30. InputStream爲空? openStream的原因是什麼?
我想它是發出一個名稱包含一個適當的,也許是「隨機」,前綴的CREATE TABLE請求。然後,SQL注入可能會更困難.... – 2013-03-16 08:12:08
,因爲joomla是開源的,如果沒有生成前綴,每個人都可以擁有相同的表名,很難猜測和利用表。 – tradyblix 2013-03-16 08:17:52