作者azureshin (azureshin)
看板PHP
标题[请益] 怎麽避免恶意查询呢 ?
时间Sat Sep 29 17:46:48 2012
假设我的server写了类似这样的东西
select * from table where id between n and n+10
要怎麽避免使用者自行写程式,用回圈将连续的n传递过来
如果对方这样写, 系统资源很快没了...=.=
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 175.111.35.15
1F:推 sing10407:原来可以这样(笔记) 09/29 18:51
2F:→ iFEELing:不要给CLIENT可能猜到後端设计方式的机会 09/29 18:54
3F:推 alpe:推楼上... ... 被猜到你就多一分被乱的机会 09/29 20:16
4F:→ MOONRAKER:看他上次几时来的 若干时间内就拒绝查询 可用db或cookie 09/29 20:49
5F:→ MOONRAKER:跟计数器类似 09/29 20:49
6F:推 jimpop:原来可以这样(笔记) 09/30 12:26
7F:→ kerash:db存比较好,单纯cookie没法防 09/30 15:55
8F:→ MOONRAKER:cookie只对average user有效 另外要检查user agent 09/30 16:32
9F:→ MOONRAKER:这点跟防机器人类似 虽然机器人都会spoof但还是查一下 09/30 16:32
10F:推 kerash:如果都会想试QUERY的通常都不是正常使用者,所以还是改吧@@ 09/30 21:42
11F:推 bency:推楼上 如果自己想得到被乱得方法 就先自己挡下吧 10/01 10:41
12F:→ LearnRPG:n是数值吧 设计个加解密 送给client的value是加密过的 10/01 13:39
13F:→ LearnRPG:适用於 select 的 option ... 自己key input 就不适合 10/01 13:40