将 HTML 表单名称与表格字段名称同名是否被认为是不好的做法?我正在构建一些动态 sql 插入查询,目前我正在使用一些正则表达式将名称更改为相关的数据库字段,因为我觉得否则可能不安全,您有什么意见?
【问题讨论】:
标签: php mysql html database forms
我写了一个函数来为我做INSERT 查询,这取决于这个事实。它将$_POST 变量名和INSERTs 放入相应的列中。
正如对 OP 的评论中所说,这并不重要,并且在大多数情况下,如果您使用 first_name, firstname, 或 first.,可以节省您回忆的时间
另外,请记住,您的用户将永远不会看到数据库列名,他们只会在查看源代码时看到表单名称。因此,不用担心太多!
祝你好运!
【讨论】:
我认为这可以帮助您减少需要做的编码。尽管它看起来像一个漏洞,但最重要的是检查来自用户的值是否存在恶意数据。我不认为这可能是有害的,因为知道您正在使用哪些数据库字段并没有给黑客带来太多帮助。他们仍然需要侵入数据库服务器才能访问您的数据。
【讨论】:
id字段,而一个存储用户会有password,salt,和name字段。所以不用担心
名称应该足以让您阅读,但“不可预测”(缺少更好的术语)足以让攻击者无法猜出隐私部分。
表单名称并不重要,但密码字段的好名称应该是 the_users_password 或 passphrase_for_account。
【讨论】:
the_users_password 比password 更安全?