PTT數位生活區 / PHP

[請益] 怎麼避免惡意查詢呢 ?

看板PHP作者 (azureshin)時間13年前 (2012/09/29 17:46), 編輯推噓5(508)
留言13則, 8人參與, 最新討論串1/1
假設我的server寫了類似這樣的東西 select * from table where id between n and n+10 要怎麼避免使用者自行寫程式,用迴圈將連續的n傳遞過來 如果對方這樣寫, 系統資源很快沒了...=.= -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 175.111.35.15
09/29 18:51, , 1F
原來可以這樣(筆記)
09/29 18:51, 1F
09/29 18:54, , 2F
不要給CLIENT可能猜到後端設計方式的機會
09/29 18:54, 2F
09/29 20:16, , 3F
推樓上... ... 被猜到你就多一分被亂的機會
09/29 20:16, 3F
09/29 20:49, , 4F
看他上次幾時來的 若干時間內就拒絕查詢 可用db或cookie
09/29 20:49, 4F
09/29 20:49, , 5F
跟計數器類似
09/29 20:49, 5F
09/30 12:26, , 6F
原來可以這樣(筆記)
09/30 12:26, 6F
09/30 15:55, , 7F
db存比較好,單純cookie沒法防
09/30 15:55, 7F
09/30 16:32, , 8F
cookie只對average user有效 另外要檢查user agent
09/30 16:32, 8F
09/30 16:32, , 9F
這點跟防機器人類似 雖然機器人都會spoof但還是查一下
09/30 16:32, 9F
09/30 21:42, , 10F
如果都會想試QUERY的通常都不是正常使用者,所以還是改吧@@
09/30 21:42, 10F
10/01 10:41, , 11F
推樓上 如果自己想得到被亂得方法 就先自己擋下吧
10/01 10:41, 11F
10/01 13:39, , 12F
n是數值吧 設計個加解密 送給client的value是加密過的
10/01 13:39, 12F
10/01 13:40, , 13F
適用於 select 的 option ... 自己key input 就不適合
10/01 13:40, 13F
更多 azureshin 的文章
文章代碼(AID): #1GPiEClb (PHP)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 azureshin 的文章
文章代碼(AID): #1GPiEClb (PHP)