作者azureshin (azureshin)
看板PHP
標題[請益] 怎麼避免惡意查詢呢 ?
時間Sat Sep 29 17:46:48 2012
假設我的server寫了類似這樣的東西
select * from table where id between n and n+10
要怎麼避免使用者自行寫程式,用迴圈將連續的n傳遞過來
如果對方這樣寫, 系統資源很快沒了...=.=
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 175.111.35.15
1F:推 sing10407:原來可以這樣(筆記) 09/29 18:51
2F:→ iFEELing:不要給CLIENT可能猜到後端設計方式的機會 09/29 18:54
3F:推 alpe:推樓上... ... 被猜到你就多一分被亂的機會 09/29 20:16
4F:→ MOONRAKER:看他上次幾時來的 若干時間內就拒絕查詢 可用db或cookie 09/29 20:49
5F:→ MOONRAKER:跟計數器類似 09/29 20:49
6F:推 jimpop:原來可以這樣(筆記) 09/30 12:26
7F:→ kerash:db存比較好,單純cookie沒法防 09/30 15:55
8F:→ MOONRAKER:cookie只對average user有效 另外要檢查user agent 09/30 16:32
9F:→ MOONRAKER:這點跟防機器人類似 雖然機器人都會spoof但還是查一下 09/30 16:32
10F:推 kerash:如果都會想試QUERY的通常都不是正常使用者,所以還是改吧@@ 09/30 21:42
11F:推 bency:推樓上 如果自己想得到被亂得方法 就先自己擋下吧 10/01 10:41
12F:→ LearnRPG:n是數值吧 設計個加解密 送給client的value是加密過的 10/01 13:39
13F:→ LearnRPG:適用於 select 的 option ... 自己key input 就不適合 10/01 13:40