1

虽然这样能更好的保护数据库字段不被暴露,但这样做中间需要一次的转换,大家都知道取名是一件挺难的事,这样也会增加代码出错的几率,不知各位是如何取舍的?

10个回答

4

没必要,前端的字段最后还不是要处理成数据库的字段?,sql注入的根本原因是没把数据跟sql语句分开。

1

没必要. 数据注入和input的name一点关系都没有.

关键是要转义输入信息.

使用prepare方式来执行sql语句,
这样基本可以杜绝sql注入.

0

没必要,跟注入没多大关系。不过一般公司在mysql会有自己的一套命名规范,PHP也有一套,前端API也有一套。一般来是有可能相同也有可能不同,没必要去纠结这个问题。

0

不必要,你只要在sql绑定,其实根本就不会出现sql注入这种问题的了

0

ORM啊 直接写sql多累

0

没必要,只要参数化,加上关键字过滤,你来什么都可以。

0

注入的情况大部分发生于自己裸写sql用字符串拼接,一般你用orm或者某些db的库例如sqlachmy之类的,用占位符的形式并不会有注入的问题,引入一个工具可也减少你这种无谓的设计。

0

不用的,php 官网推荐使用PDO模块,prepare sql, 然后 bind 数据类型,就很安全了。
文档链接: http://php.net/manual/en/book...

-1

防止被【注入】,本质是要戴【安全】的套套,而不是说要不要戴个【有凸点】的套套。(逃)

0

没必要,只要参数化,加上关键字过滤,你来什么都可以。

该答案已被忽略,原因:不符合答题规范 - 内容不是答案,可用评论、投票替代

撰写答案