下拉式選單需要 SQL 注入保護嗎?
雖然傳統觀點建議不要因 SQL 注入風險而盲目信任用戶輸入,但這是很自然的想知道這是否也適用於下拉式選單。畢竟,下拉式選單向用戶提供了一組有限的預定義選項。
但是,下拉式選單的存在並沒有消除了 SQL 注入保護的需要。請考慮以下內容:
開發者控制台操作
使用Firefox 開發者控制台,可以操縱HTML 將下拉選項變更為SQL 注入語句(如圖所示如下圖所示)。
[圖片:Firefox 開發者控制台顯示編輯後的下拉值是一個DROP TABLE聲明]
自訂HTTP請求
即使頁面上的下拉行為受到限制,高級用戶也可以簡單地停用這些限製或使用curl等工具來建立自訂HTTP請求模仿表單提交。以下curl指令示範如何在使用下拉式選單時提交SQL注入:
curl --data "size=%27%29%3B%20DROP%20TABLE%20*%3B%20--" http://www.example.com/profile/save
結論
關鍵要點是永遠不要信任使用者輸入至關重要。無論輸入法為何,無論是表單、下拉式清單或任何其他來源,始終實施 SQL 注入保護。請記住:
透過遵循此規則,您可以保護您的資料庫並防止惡意攻擊。
以上是下拉式選單需要 SQL 注入保護嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
