私はhtaccessファイルに次のルールがあります。htaccess書き換えルールはSQLインジェクションを防止するのに役立ちますか?
私は、次のURLを持っている場合はhttp://www.example.com/this-is-a-title
は、SQLインジェクションに$url
変数対象となり、または私はいけない:私の質問はこれです
RewriteRule ^([a-zA-Z0-9\-\_]+)/?$ test.php?&url=$1 [L]
をRewriteRuleは文字、数字、ダッシュ、アンダースコアのみを許可し、引用符やアポストロフィや+記号は許可しないので心配はありませんか?
編集:これはURLであれば何が起こっている問題
フォローアップ ? http://www.example.com/this'is"a+title
URLバーに配置すると、404エラーが表示されますが、実際には何が起こっていますか。記号' " +
は無視されているか、剥奪されていますか?
なぜ受け入れられないのですか?上記の '.htaccess'ルールでどのような条件でインジェクション攻撃が働くのでしょうか?私は同意しない、私はちょうど理由を知りたい。 – kylex
あなたの*守備陣としては受け入れられません。あいまいさによるセキュリティは決して実践すべきではありません。それには、直接URLを把握してそれを利用する人が1人必要です。あなたはいつも、いつも、常にデータがデータベースに保存されるべきです。 **常に。** –
意味があります!ありがとう – kylex