使用GET方法从数据库中检索数据。我使用Mysql DB和PHP来检索数据。我的网址看起来像这样
"http://localhost/test/index.php?prop_id=1&location_id=1"
"prop_id" is my auto increment field in my database "property" table
你们中的任何人都可以告诉我这是否安全。还告诉我最佳做法..
感谢
答案 0 :(得分:1)
不,没有人能告诉你这是否安全,因为你给了我们绝对没有合作的背景。
如果人们可以在ID中添加一个并查看下一条记录,这是否重要?
如果不是,那就安全了。
如果是,那就不安全了。
答案 1 :(得分:0)
"最佳实践"从程序员到程序员,公司到公司各不相同。在考虑安全性时使用的一个很好的调查是查看可以通过键盘上的黑客,白痴用户或猫可以做的事情来完成的所有操作。在您的情况下,您正在为某人提供访问其他数据记录的良好手段。
这样安全吗?这取决于您的代码以及您的网站的实施方式。有人能够看到每条记录是否可以?他们是否可以更改,删除或以其他方式损坏他人的数据?
加密或编码id是一个想法,但是你只是减少了访问它的难易程度。有足够时间的人可能仍然可以访问数据,这可以追溯到前一段中的点。
考虑使用Post,会话变量或其他内容而不是querystring / Get变量。