首頁猿問用戶表查詢性能問題

用戶表查詢性能問題

SQL Server

ibeautiful 2018-12-06 12:08:32

查詢用戶登錄,一般用檢測(cè)cookie后,select * from user where username ="dddd" 如果我在cookie里寫入userid 用select * from user where userid =1111,然后再來判斷,會(huì)不會(huì)有什么安全問題?

查看完整描述

6 回答

慕少森

TA貢獻(xiàn)2019條經(jīng)驗(yàn) 獲得超9個(gè)贊

依然存在。。

反對(duì) 回復(fù) 2019-01-07

長(zhǎng)風(fēng)秋雁

TA貢獻(xiàn)1757條經(jīng)驗(yàn) 獲得超7個(gè)贊

最好是給sql提供參數(shù)，而不是直接的拼接一下。

還有對(duì)你傳入的參數(shù)需要個(gè)驗(yàn)證。

反對(duì) 回復(fù) 2019-01-07

呼啦一陣風(fēng)

TA貢獻(xiàn)1802條經(jīng)驗(yàn) 獲得超6個(gè)贊

對(duì)于樓上說的，對(duì)傳入的參數(shù)做驗(yàn)證，我認(rèn)為是必須的，特別是它包含特殊字符的情況，例如--，這會(huì)注釋掉其后的語句，直接使用用戶名即可登錄……

反對(duì) 回復(fù) 2019-01-07

飲歌長(zhǎng)嘯

TA貢獻(xiàn)1951條經(jīng)驗(yàn) 獲得超3個(gè)贊

恩～同意樓上兩位說的，如果是簡(jiǎn)單的字符的話會(huì)有傳說中的XSS漏洞。。。。還有不知道樓主為什么一定要用cookie呢？用session做這樣的驗(yàn)證信息不是很好嗎？cookie本來就是一個(gè)可以偽造的東西，如果非要用，最好能用加密以后的cookie，比如MD5啦，混淆字符啦神馬的。。。。

綜上所述，安全隱患有～可能出現(xiàn)的危險(xiǎn)度★★★★☆

反對(duì) 回復(fù) 2019-01-07