嗨,大家好。
今天我开始要接手一个新的安全性较高的项目了,目前在进行到设计表单的阶段上遇到了一些以前不曾细想的安全问题,那就是如何设计表单名。
问题如下:
1、 如果表单设计如下,name属性为“user_name”,那么这样不是给别人猜到了数据库的设计了吗?
html<input type="text" name="user_name" /> <input type="password" name="user_pswd" />
2、 设计如下表单,这种表单名在后端比较容易使用处理,直接$_POST['user']即可得到所有的相关值。那么相对于 1 中的表单名,下面的表单名会不会有什么隐患呢?
html<input type="text" name="user[user_name]" /> <input type="password" name="user[user_pswd]" />
3、 设计表单名的时候,不直接对应到数据库字段名,然后表单提交到后端时,在映射回对应的数据库字段名,这样做需要写许多获取表单值的代码了。
html<input type="text" name="user[nick_name]" /> <input type="password" name="user[a_password]" />
以上,综合安全性和开发效率,选择哪种好?或者还有其它方式?
各位帮忙看看,谢谢~
服务器端字段映射一下,比如form表单的input是user_name,你的数据库可以是nickname
你可以对username加密写入html当表单里的name 接受到时再解密,这样就可以和数据库字段保持一致
猜到数据库又何妨? 我看你标签是php,担心注入用PDO就行了.