【发布时间】:2011-03-08 18:20:00
【问题描述】:
我这里有一个具体案例,我希望得到一些安全建议。基本上我的问题是“如果我控制数据库中的内容(没有用户提交数据),以 HTML(通过 AJAX)返回数据库查询结果是否存在安全问题”?
这是正在发生的过程:
- 每日构建生成一个 XML 文档
- 我的服务器检索此 XML 文档,对其进行解析(使用 PHP)并将其输入数据库。
- 用户访问站点,发送 AJAX 请求(参数包括要返回的结果数量、排序方式以及必要时的搜索词)
- PHP 脚本查询数据库,将结果返回给 AJAX 回调
- AJAX 回调将结果注入到页面中查看
相当标准的东西......
更多背景知识:我使用准备好的 SQL 语句,以限制用户提供的搜索查询和任何 URL 篡改以创建任意查询。 XML 文件只有字母数字,没有代码。我之所以要返回HTML,是为了尽可能地限制客户端的工作,有了HTML,就不用费劲JS来生成页面了(除了用jQuery注入html块)。
对我有什么建议吗?
提前谢谢你。
PS - 这仍处于规划阶段,因此没有真正的代码可显示。
【问题讨论】:
标签: php xml database ajax security