4,250
社区成员
发帖
与我相关
我的任务
分享关于sql注入
我有一个疑问,网站处理一个留言板,通过ajax传给PHP控制器去处理的
$.ajax({
url:'http://www.************?content='+ thisContent + '&username='+ thisUsername +'&phone='+thisPhone+'&callback=?',
type:'GET',
dataType:'jsonp',
success:function(d){
if(d.code==200){
}
}
});
PHP那边用GET去接数据,接到之后直接传给MYSql数据库,可问题是,聪明点的直接在浏览器地址栏直接输入http://www.************?content='+ thisContent + '&username='+ thisUsername +'&phone='+thisPhone+'&callback=?这样子也可以往数据库里面插入数据了。
如果有人用软件一直通过浏览器里面给你不间断的传数据,那你的MYSql肯定是受不鸟这样的。肯定会垮掉。请问高手们有什么好的解决办法吗???求解答了!
$.ajax({
url:'http://www.************?content='+ thisContent + '&username='+ thisUsername +'&phone='+thisPhone+'&callback=?',
type:'GET',
dataType:'jsonp',
success:function(d){
if(d.code==200){
}
}
});
PHP那边用GET去接数据,接到之后直接传给MYSql数据库,可问题是,聪明点的直接在浏览器地址栏直接输入http://www.************?content='+ thisContent + '&username='+ thisUsername +'&phone='+thisPhone+'&callback=?这样子也可以往数据库里面插入数据了。
如果有人用软件一直通过浏览器里面给你不间断的传数据,那你的MYSql肯定是受不鸟这样的。肯定会垮掉。请问高手们有什么好的解决办法吗???求解答了!
...全文
请发表友善的回复…
发表回复
嘻哈大咖秀 2014-01-12
- 打赏
- 举报
留言之前做username的判断可以 看是否存在这个用户 如果是乱填的就return掉不让他再往下操作
首先谢谢你的解答哦!
我想过根据用户名限制,也这样做了,但是会不会有高手把username做个随机的往MYSQL,那就很难确定了。限制IP是个不错的办法。但是感觉不是很常用,有没有更好办法解决呢?[/quote]
yougsn 2014-01-12
- 打赏
- 举报
首先谢谢你的解答哦!
我想过根据用户名限制,也这样做了,但是会不会有高手把username做个随机的往MYSQL,那就很难确定了。限制IP是个不错的办法。但是感觉不是很常用,有没有更好办法解决呢?[/quote]
你网站是匿名的?不做登录限制?
加验证码限制
风火程序员 2014-01-12
- 打赏
- 举报
首先谢谢你的解答哦!
我想过根据用户名限制,也这样做了,但是会不会有高手把username做个随机的往MYSQL,那就很难确定了。限制IP是个不错的办法。但是感觉不是很常用,有没有更好办法解决呢?[/quote][/quote]
恩恩。不错IDEA哦!
风火程序员 2014-01-11
- 打赏
- 举报
首先谢谢你的解答哦!
我想过根据用户名限制,也这样做了,但是会不会有高手把username做个随机的往MYSQL,那就很难确定了。限制IP是个不错的办法。但是感觉不是很常用,有没有更好办法解决呢?
嘻哈大咖秀 2014-01-11
- 打赏
- 举报
那就做个限制呗 根据用户名username 或者 ip限制每天留言条数
