现在在着手统一公司的后台,打算主站去各个子站取数据
每次有新需求,都发子站的代码太麻烦,(很多子站的运维权限不在我们手上)
目前打算这样。
子站备着一句
sprintf("select * from %s
where %s
%s '%s'", $table, $cond, $is, $value);
主站传的参数,先用正则过一遍,只允许数字/字母/下划线/等于大于小于号/中划线/冒号,
如果有其它符号(主要是防空格??)
就不执行。
这样安全吗?
主要目的是,保证安全的情况下,尽可能把工作量和回旋余地都集中到主站。
基本的api对称加密那些肯定是有。主要问题还是防注入这块,这样能防住吗?
慕雪6442864
繁花如伊