PHP와 MySQLi를 사용합니다. 4 HTML5 드롭 다운 선택 목록 입력이있는 간단한 양식이 있습니다. 이제 데이터베이스 준비를 위해 Prepared Statement를 사용해야합니까? SQL 주입 문제가 여전히 발생합니까? 또는 이러한 유형의 입력을 사용하는 데 다른 유형의 위험이 있습니다. 감사합니다.준비된 문을 사용해야합니까?
6
A
답변
9
선택 상자를 통해 삽입 한 값은 최종 사용자가 쉽게 수정할 수 있기 때문에 여전히 주입 공격이 가능합니다.
유효성 검사 서버 측면이 좋은 경우 준비된 문없이 수행하면됩니다. 좋은으로
내가이 같은 것을 의미 :
$array = Array("all", "your", "possible", "values", "from", "Select boxes");
if(in_array ($_POST['selectbox'], $array)){
//Mysql statements etc....
}
직접 삽입 사용자 입력하는 것은 좋은 방법이 아닙니다. 최종 사용자를 신뢰해서는 안됩니다!
관련 문제
- 1. SELECT 쿼리에서 준비된 문을 사용해야합니까?
- 2. 정적 값에 대해 준비된 문을 사용해야합니까?
- 3. 데이터베이스에서 가져온 데이터에 대해 준비된 문을 사용해야합니까?
- 4. 사용자가 삽입 한 DB에서 값을 선택할 때 준비된 문을 사용해야합니까?
- 5. 준비된 문을 죽이는 스크립트
- 6. 준비된 문을 생성/초기화시기
- 7. 준비된 문을 가져 오는 동안 준비된 문
- 8. 준비된 문을 QSqlQuery와 재사용하려면 어떻게합니까?
- 9. Sequel for MySQL2에서 준비된 문을 사용하는 방법
- 10. 나는 준비된 PDO SQL 문을
- 11. 준비된 문을 사용하여 ID 받기
- 12. 준비된 문을 사용하여 SQL 예외
- 13. 업데이트가있는 준비된 문을 작성하려면 어떻게합니까?
- 14. PHP PDO - 준비된 문을 출력하십시오.
- 15. php 데이터베이스에 준비된 문을 추가하십시오.
- 16. DB2에서 준비된 문을 모니터하는 방법
- 17. 동적 뷰에서 준비된 문을 사용하여
- 18. 실제로 PDO와 준비된 문구를 사용해야합니까?
- 19. 내가 다음과 같이 준비된 문을 실행하기 위해 노력하고있어 준비된 문
- 20. 준비된 문을 닫으면 결과 집합이 삭제됩니까?
- 21. 준비된 문을 사용하여 테이블에서 삭제 문제가 발생했습니다.
- 22. 준비된 문을 사용하여 db에 저장할 수 없습니다.
- 23. 준비된 문을 사용하여 LONG 데이터 형식 설정
- 24. 준비된 문을 사용하는 가변 열 이름
- 25. Java로 동적 준비된 문을 작성하는 방법은 무엇입니까?
- 26. 준비된 문을 사용하여 여러 열의 SQL 쿼리
- 27. 준비된 문을 사용하여 MySQL 버전 오류가 발생했습니다.
- 28. 준비된 문을 사용하여 데이터베이스에서 엔티티를 선택하는 방법
- 29. 파이썬 mysqldb가 준비된 문을 사용하여 NULL을 삽입합니다.
- 30. 준비된 문을 사용하여 변수를 바인딩하는 방법
[Google 검색]의 두 가지 결과 (https://www.google.fr/search?q=sql+injection+dropdown&ie)에도 불구하고이 질문에 어떻게 많은 상향 신호가 들었는지 나는 정말로 이해할 수 없습니다. 이미 대답하고 그 대답은 사소한 것이고 다음과 같이 요약 할 수 있습니다 : [** 결코 신뢰하지 마라.] [** 신뢰하지 마라. 사용자 입력 **] (http://stackoverflow.com/questions/2794016/what-should-every-programmer-know-about-security). –
Chrome에서 선택 상자를 마우스 오른쪽 버튼으로 클릭하고 '요소 검사'를 클릭하십시오. 그런 다음 원하는 값으로 값을 변경하고 양식을 제출하십시오. – rybo111