嗨,大家好。
今天我开始要接手一个新的安全性较高的项目了,目前在进行到设计表单的阶段上遇到了一些以前不曾细想的安全问题,那就是如何设计表单名。
问题如下:
1、 如果表单设计如下,name
属性为“user_name”,那么这样不是给别人猜到了数据库的设计了吗?
<input type="text" name="user_name" /> <input type="password" name="user_pswd" />
2、 设计如下表单,这种表单名在后端比较容易使用处理,直接$_POST['user']即可得到所有的相关值。那么相对于 1 中的表单名,下面的表单名会不会有什么隐患呢?
<input type="text" name="user[user_name]" /> <input type="password" name="user[user_pswd]" />
3、 设计表单名的时候,不直接对应到数据库字段名,然后表单提交到后端时,在映射回对应的数据库字段名,这样做需要写许多获取表单值的代码了。
<input type="text" name="user[nick_name]" /> <input type="password" name="user[a_password]" />
以上,综合安全性和开发效率,选择哪种好?或者还有其它方式?
各位帮忙看看,谢谢~
芜湖不芜
互换的青春