代码清理问题

| 将管理员用户提交的数据置于未过滤状态,而仅清理非管理员用户提交的数据,是否安全?     
2020-03-13 5 条评论
分享

没有找到相关结果

    已邀请:

    诧不达

    您应该清除所有输入,信任管理员用户是一种幼稚的方法。     
    2020-03-13 0 0
    分享

    弦砂牧扁

    如果您决定清理用户数据,则应对所有用户(包括管理员用户输入)进行清理。 成为管理员用户并不意味着他们输入的数据始终是安全的。     
    2020-03-13 0 0
    分享

    到街客核

    不清理管理员输入的内容可能不是一个好主意,除非清理过程的某些部分会阻止管理员执行她需要做的事情。您必须考虑两件事: 管理员值得信赖吗? (我希望如此) 在没有我的知识/权限的情况下,有人可能会成为管理员吗? (这种可能性更大-有人可能会破解管理员密码或使用漏洞利用来提升其权限)。 简而言之,是的,您应该对所有内容进行清理-除非它对管理员如此不利,以至于您愿意损害安全性。无论您是否对管理员输入进行了清理,请确保admin拥有非常安全地存储的非常安全的密码。     
    2020-03-13 0 0
    分享

    春驹晴陪

    从更广泛的角度考虑:如果您的系统完全包含一个“ admin”帐户,则意味着您有一些“普通用户”永远不会看到的特殊操作,甚至是一些关键的,战略性的或仅仅是危害系统的数据/稳定性/可用性。 管理员是人类。人类会犯错误。关键/战略/危险操作中未注意到的错误意味着灾难。 您应该比普通用户更清洁管理员的输入,因为最容易意外破坏系统的是“管理员”。 当然,如果整个管理面板只是一个接受原始SQL查询执行的文本字段,那么对管理员输入产生偏执就没有任何意义了:)     
    2020-03-13 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.0331711769104