暴露表名字段名有什么危害
发布于 2 个月前 作者 qian-ryan 656 次浏览 来自 问答

我把后台管理的增删改查三接口搞定,上级觉得暴露了数据库的字段名有风险。原因说不出来只觉得能用字段做某些事情。我一直都是用orm去查询数据库,基本避免的sql注入问题。上级以前一直都用的是字符串拼接方式。 有人知道暴露数据库字段有什么危害么?我是感觉就算把表名字段名暴露出去黑客也不能利用这些东西做什么。

3 回复

一般没啥影响 如果你做了数据分片, 表名上有数字, 那么是可以推导出你的数据规模, 业务规模

以前还想过一些套路, 只在代码中用人类可阅读的字段名/表名, 通过框架解决 名称 <-> 随机数 之间的双向映射 后来想想意义不大, 工具链不完善的话, 会给调试带来极大的困难

表名 字段名 类名 方法名 参数名 不一致基本就是在人工维护 名称 <-> 随机数 之间的双向映射

@netwjx 我也是这么觉得。上级感觉这样有风险,问他怎么有风险也说不出所以然。必须要每个接口单独些返回的字段还都必须给别名。难受

有谁预先就知道这些是数据库的字段啊 - -

回到顶部