欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

Web表单名设计的安全问题

程序员文章站 2022-06-13 18:57:38
...
嗨,大家好。

今天我开始要接手一个新的安全性较高的项目了,目前在进行到设计表单的阶段上遇到了一些以前不曾细想的安全问题,那就是如何设计表单名。

问题如下:

1、 如果表单设计如下,name属性为“user_name”,那么这样不是给别人猜到了数据库的设计了吗?

html

2、 设计如下表单,这种表单名在后端比较容易使用处理,直接$_POST['user']即可得到所有的相关值。那么相对于 1 中的表单名,下面的表单名会不会有什么隐患呢?

html

3、 设计表单名的时候,不直接对应到数据库字段名,然后表单提交到后端时,在映射回对应的数据库字段名,这样做需要写许多获取表单值的代码了。

html

以上,综合安全性和开发效率,选择哪种好?或者还有其它方式?

各位帮忙看看,谢谢~

回复内容:

嗨,大家好。

今天我开始要接手一个新的安全性较高的项目了,目前在进行到设计表单的阶段上遇到了一些以前不曾细想的安全问题,那就是如何设计表单名。

问题如下:

1、 如果表单设计如下,name属性为“user_name”,那么这样不是给别人猜到了数据库的设计了吗?

html

2、 设计如下表单,这种表单名在后端比较容易使用处理,直接$_POST['user']即可得到所有的相关值。那么相对于 1 中的表单名,下面的表单名会不会有什么隐患呢?

html

3、 设计表单名的时候,不直接对应到数据库字段名,然后表单提交到后端时,在映射回对应的数据库字段名,这样做需要写许多获取表单值的代码了。

html

以上,综合安全性和开发效率,选择哪种好?或者还有其它方式?

各位帮忙看看,谢谢~

猜到数据库又何妨? 我看你标签是php,担心注入用PDO就行了.

你可以对username加密写入html当表单里的name 接受到时再解密,这样就可以和数据库字段保持一致

服务器端字段映射一下,比如form表单的input是user_name,你的数据库可以是nickname

相关标签: php web