虽然这样能更好的保护数据库字段不被暴露,但这样做中间需要一次的转换,大家都知道取名是一件挺难的事,这样也会增加代码出错的几率,不知各位是如何取舍的?
没必要,前端的字段最后还不是要处理成数据库的字段?,sql注入的根本原因是没把数据跟sql语句分开。
看实际 业务场景需要
注入的情况大部分发生于自己裸写sql用字符串拼接,一般你用orm或者某些db的库例如sqlachmy之类的,用占位符的形式并不会有注入的问题,引入一个工具可也减少你这种无谓的设计。
没必要. 数据注入和input的name一点关系都没有.
没必要,只要参数化,加上关键字过滤,你来什么都可以。
不必要,你只要在sql绑定,其实根本就不会出现sql注入这种问题的了
关键是要转义输入信息.
使用prepare方式来执行sql语句, 这样基本可以杜绝sql注入.
没必要,跟注入没多大关系。不过一般公司在mysql会有自己的一套命名规范,PHP也有一套,前端API也有一套。一般来是有可能相同也有可能不同,没必要去纠结这个问题。
使用ORM即可
没必要,php防注入的话可以使用函数mysql_real_escape_string()去除特殊字符
鄂公网安备 42090202000075号 - 鄂ICP备2021002952号-1
微博登录
QQ登录
微信扫码登录
