Я только что встретил разработчика, который добавил каждое имя таблицы и столбца в свои базы данных MYSQL с помощью подчеркивания (например, _users, _name, _active). Когда я допросил эту практику, он заявил, что это помогает предотвратить атаки SQL-инъекций - я никогда не сталкивался с этой практикой/советом раньше. Как это помогает предотвратить атаки SQL-инъекций?
Неужели трудно найти SQL-таблицу таблицы таблиц и столбцов, которые помогают предотвратить SQL-инъекцию?
Ответ 1
Нет.
Он думает: "Если злоумышленник не знает названия моих таблиц, тогда злоумышленник не может с ними общаться". Тем не менее, вы все еще уязвимы для SQL-инъекций, и злоумышленник может по-прежнему вызывать произвольные системные вызовы, возможно, в известных системных таблицах. Что делать, если он добавляет некоторый код SQL, который вызывает очень длинные запросы к системной таблице, которая забивает ваш сервер?
Безопасность через безвестность не является безопасностью.
Ответ 2
_this, _ здесь нет никакого отношения к безопасности, поскольку он может быть уязвимым
Хорошее чтение