드롭다운에 SQL 주입 보호가 필요합니까?

드롭다운에 대한 SQL 주입 보호가 필요합니까?

SQL 주입 위험으로 인해 사용자 입력을 맹목적으로 신뢰하지 말라는 전통적인 통념이 있지만 이는 자연스러운 일입니다. 이것이 드롭다운에도 적용되는지 궁금합니다. 결국 드롭다운은 사용자에게 미리 정의된 제한된 옵션 세트를 제공합니다.

그러나 드롭다운이 있다고 해서 SQL 주입 보호가 필요 아닙니다. 다음을 고려하십시오.

개발자 콘솔 조작

Firefox 개발자 콘솔을 사용하면 HTML을 조작하여 드롭다운 옵션을 SQL 삽입 문으로 변경할 수 있습니다(시연된 대로). 아래 이미지 참조).

[이미지: DROP TABLE이 되도록 편집된 드롭다운 값을 보여주는 Firefox 개발자 콘솔 성명]

사용자 정의 HTTP 요청

페이지에서 드롭다운 동작이 제한되어 있더라도 고급 사용자는 간단히 이러한 제한을 비활성화하거나 컬과 같은 도구를 사용하여 사용자 정의 HTTP 요청을 생성할 수 있습니다. 양식 제출을 모방합니다. 다음 컬 명령은 드롭다운을 사용하는 경우에도 SQL 삽입을 제출하는 방법을 보여줍니다.

curl --data "size=%27%29%3B%20DROP%20TABLE%20*%3B%20--"  http://www.example.com/profile/save

결론

중요한 점은 사용자 입력을 절대로 신뢰하지 않는다는 것입니다. 결정적이다. 양식, 드롭다운 또는 기타 소스 등 입력 방법에 관계없이 항상 SQL 주입 방지를 구현하십시오. 기억하세요:

• 절대로 사용자 입력을 신뢰하지 마세요.
• 항상 SQL 삽입으로부터 자신을 보호하세요.

이 규칙을 따르면 데이터베이스를 보호하고 악의적인 공격을 예방할 수 있습니다.

위 내용은 드롭다운에 SQL 주입 보호가 필요합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!