我正在构建一个web应用程序。用户可以将消息插入数据库。我用的是8000码。
我的安全措施:
- 数据为纯文本或
- HTML只允许有一个严格的子集(用XSS算法检查)
- 通过预处理语句输入
我想知道这么大的尺寸是否有我应该注意的其他(安全)风险或性能问题?
不——使用大缓冲区没有特别的安全问题。正如你似乎已经注意到的,你的两个主要弱点是:1. 有人在HTML中插入恶意脚本2. sql注入.
只保留良性标签可以帮助您解决第一个问题,使用准备好的语句可以保护您免受最常见的sql注入漏洞。