PHP URL隐藏分类的id
PHP URL hiding the id of the category
我怀疑我的代码 "soon to be a website" 很弱或容易被破解。
我读过 SQL 注入和其他安全问题,我开始知道 URL 不应该是这样的: "index.php?catid=id" 它必须被隐藏或重定向或路由.
这是我试图避免的,但是,我已经尝试过 session_start();但结果一团糟。
我也可能错了,使用锚点将用户从一个页面发送到另一个页面时可能根本没有危险点击这里
请检查下面的代码。
header.php
<div class="header">
<div class="logo">
<a href="index.php"><img src="images/logo.jpg" alt="logo" /></a>
</div><!--logo ends-->
<div class="navigation">
<?php
$cat_sql = "SELECT * FROM category";
$cat_query = $conn->query($cat_sql);
while ($cat_results = $cat_query->fetch_array()){
$category_page = "category.php?categoryID=" .$cat_results['categoryID'];
//session_start();
//echo session_id();
echo "<a href='$category_page'>". $cat_results['name'] ." </a>";
}
CloseCon($conn)
?>
<a href="admin.php">Admin</a>
</div><!--navigation ends-->
</div><!-- Header ends here-->
dbconnect.php
$servername = "localhost";
$username = "root";
$password = "123456789";
$database = "accessories";
$conn = new mysqli($servername, $username, $password, $database);
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}
echo "Connected successfully";a
function CloseCon($conn)
{$conn -> close();}
我不太担心 ID 是 public(这种情况并不少见……这是常态),我更关心 您如何查询。你在使用 MySQLi's support for parameterized queries 吗?它们是单枪匹马保护您的网站免受 SQL 注入漏洞攻击的最佳方式。在您接受用户输入并将其发送到查询中的任何地方,请确保其已参数化。
我怀疑我的代码 "soon to be a website" 很弱或容易被破解。
我读过 SQL 注入和其他安全问题,我开始知道 URL 不应该是这样的: "index.php?catid=id" 它必须被隐藏或重定向或路由.
这是我试图避免的,但是,我已经尝试过 session_start();但结果一团糟。
我也可能错了,使用锚点将用户从一个页面发送到另一个页面时可能根本没有危险点击这里
请检查下面的代码。
header.php
<div class="header">
<div class="logo">
<a href="index.php"><img src="images/logo.jpg" alt="logo" /></a>
</div><!--logo ends-->
<div class="navigation">
<?php
$cat_sql = "SELECT * FROM category";
$cat_query = $conn->query($cat_sql);
while ($cat_results = $cat_query->fetch_array()){
$category_page = "category.php?categoryID=" .$cat_results['categoryID'];
//session_start();
//echo session_id();
echo "<a href='$category_page'>". $cat_results['name'] ." </a>";
}
CloseCon($conn)
?>
<a href="admin.php">Admin</a>
</div><!--navigation ends-->
</div><!-- Header ends here-->
dbconnect.php
$servername = "localhost";
$username = "root";
$password = "123456789";
$database = "accessories";
$conn = new mysqli($servername, $username, $password, $database);
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}
echo "Connected successfully";a
function CloseCon($conn)
{$conn -> close();}
我不太担心 ID 是 public(这种情况并不少见……这是常态),我更关心 您如何查询。你在使用 MySQLi's support for parameterized queries 吗?它们是单枪匹马保护您的网站免受 SQL 注入漏洞攻击的最佳方式。在您接受用户输入并将其发送到查询中的任何地方,请确保其已参数化。