Неужели трудно найти SQL-таблицу таблицы таблиц и столбцов, которые помогают предотвратить SQL-инъекцию?

Я только что встретил разработчика, который добавил каждое имя таблицы и столбца в свои базы данных MYSQL с помощью подчеркивания (например, _users, _name, _active). Когда я допросил эту практику, он заявил, что это помогает предотвратить атаки SQL-инъекций - я никогда не сталкивался с этой практикой/советом раньше. Как это помогает предотвратить атаки SQL-инъекций?

Ответы

Ответ 1

Нет.

Он думает: "Если злоумышленник не знает названия моих таблиц, тогда злоумышленник не может с ними общаться". Тем не менее, вы все еще уязвимы для SQL-инъекций, и злоумышленник может по-прежнему вызывать произвольные системные вызовы, возможно, в известных системных таблицах. Что делать, если он добавляет некоторый код SQL, который вызывает очень длинные запросы к системной таблице, которая забивает ваш сервер?

Безопасность через безвестность не является безопасностью.