使用 post 请求进行搜索是一种不好的做法吗?
Is it a bad practice to do search using post request?
-我正在按名称搜索购物清单。如果名称匹配,则会显示数据库中的所有可用项目。使用 post 请求实现搜索是一种不好的做法吗?我已经检查过它工作正常而不是 injectable。
-一个额外的问题,如果搜索字段容易受到 sql 注入攻击,用户是否可以通过任何方式删除(删除)table?
提前致谢。
以这种方式编写代码并不是坏习惯。另一种选择是使用异步 JavaScript 使用 returns 数据的 REST 调用。但无论哪种方式,您都将通过 Web 请求访问数据库。
如果您的代码允许 SQL 注入,那么攻击者可以对用于创建连接的用户帐户允许的数据库执行任何操作 - 包括可能删除表。
防止 SQL 注入的一种常见方法是使用参数化查询构建所有 SQL 语句,例如使用 JDBC 或 ODBC 实现的语句。从头开始构建 SQL 时要小心。
-我正在按名称搜索购物清单。如果名称匹配,则会显示数据库中的所有可用项目。使用 post 请求实现搜索是一种不好的做法吗?我已经检查过它工作正常而不是 injectable。
-一个额外的问题,如果搜索字段容易受到 sql 注入攻击,用户是否可以通过任何方式删除(删除)table?
提前致谢。
以这种方式编写代码并不是坏习惯。另一种选择是使用异步 JavaScript 使用 returns 数据的 REST 调用。但无论哪种方式,您都将通过 Web 请求访问数据库。
如果您的代码允许 SQL 注入,那么攻击者可以对用于创建连接的用户帐户允许的数据库执行任何操作 - 包括可能删除表。
防止 SQL 注入的一种常见方法是使用参数化查询构建所有 SQL 语句,例如使用 JDBC 或 ODBC 实现的语句。从头开始构建 SQL 时要小心。