Security URL重写有多安全？

这可能是一个重复的问题，但如果是，我无法找到另一个

我在寻找关于url重写有多安全的建议？它是停止SQL注入还是停止XSS？如果没有，人们将如何绕过它

我问的原因是因为我不确定重写的过程。我是否正确地认为此URL实际上是危险的：

---

'联合所有…

不，URL重写无法阻止XSS或SQL注入

如果要避免SQL注入，请在代码中使用DBI库（带有prepare/execute语句）

---

如果您想避免XSS攻击，请在代码中过滤您的用户输入

否，URL重写无法阻止XSS或SQL注入

如果要避免SQL注入，请在代码中使用DBI库（带有prepare/execute语句）

---

如果您想避免XSS攻击，请在代码中过滤您的用户输入

URL重写和安全性是两件不同的事情。URL重写只是更改URL中变量的表示形式，但根本不安全。从url恢复后，我们必须保护代码中的变量。

url重写和安全性是两件不同的事情。URL重写只是更改URL中变量的表示形式，但根本不安全。从url恢复后，我们必须保护代码中的变量。

url重写与防止SQL注入无关！URL重写主要用于将“丑陋”的URL（如）转换为漂亮的URL（如）

它根本不会阻止SQL注入。必须通过确保用户输入不包含修改SQL语句的字符来防止SQL注入，以使其执行非预期的操作。例如：

您有如下SQL语句：

SELECT * FROM $tableName;

$tableName

是用户通过web表单输入的参数。现在用户可以输入

用户；删除表用户--。这将是糟糕的：

SELECT * FROM Users; DROP TABLE Users; --;

然而，这不能通过URL重写来解决。
URL重写与防止SQL注入无关！URL重写主要用于将“丑陋”的URL（如）转换为漂亮的URL（如）

它根本不会阻止SQL注入。必须通过确保用户输入不包含修改SQL语句的字符来防止SQL注入，以使其执行非预期的操作。例如：

您有如下SQL语句：

SELECT * FROM $tableName;

$tableName
是用户通过web表单输入的参数。现在用户可以输入
用户；删除表用户--。这将是糟糕的：

SELECT * FROM Users; DROP TABLE Users; --;

但是，这不能通过URL重写来解决。
但是对于仅基于$\u GET变量的SQL注入，如果我们使用以下方法：

重写规则^（[a-z]）-（[0-9]）.html$/index.php？页面=$1&id=$2[L]

$\u GET[“id”]变量是可注入的吗？我们只强制使用整型值。
但是对于仅基于$\u GET变量的SQL注入，如果我们使用以下方法：

重写规则^（[a-z]）-（[0-9]）.html$/index.php？页面=$1&id=$2[L]

$\u GET[“id”]变量是可注入的吗？我们只使用整数强制该值。
URL重写具有名为“请求阻止”的功能。您可以使用此功能扫描并阻止第三方工具发送欺骗请求。
URL重写具有名为“请求阻止”的功能。您可以使用此功能扫描并防止第三方工具发送欺骗请求。
我不知道这与SQL注入或XSS有什么关系。如果您解释了哪些方面或URL重写使您认为有助于解决这些问题，则此问题对社区更有价值。我不知道它与SQL注入或XSS有什么关系XSS。如果您解释了哪些方面或URL重写使您认为有助于解决这些问题，那么这个问题对社区更有价值。那么我认为如果不承认，这可能是危险的，对吗？”UNIONALL…您应该了解SQL注入并不局限于错误的URL参数。虽然在某些情况下，未经清理的URL参数可能会导致SQL语句中出现意外和不需要的结果，但URL参数并不是唯一可能导致意外结果的因素。作为一般规则：任何不是源于代码的内容（例如URL参数、POST参数、用户输入等）都必须经过清理-但URL重写对您毫无帮助。所以我认为如果不进行清理，这可能是危险的，对吗UNIONALL…您应该了解SQL注入并不局限于错误的URL参数。虽然在某些情况下，未经清理的URL参数可能会导致SQL语句中出现意外和不需要的结果，但URL参数并不是唯一可能导致意外结果的因素。作为一般规则：任何不在代码中的内容（例如URL参数、POST参数、用户输入等）都必须进行清理，但URL重写对您毫无帮助。