Ich habe eine kleine MySQL-Datenbank mit ein paar hundert Zeilen (alles im Text, keine Bilder). Ich beantrage alle Zeilen mit iQuery und führe die gesamte Filterung am Client aus. iQuery Code ist folgende:Gibt es ein Injektionsrisiko, wenn keine Benutzereingabe an die Datenbank gesendet wurde?
$(document).ready(function() {
$.get("alldata.php", function(data){
$('#result').text(data);
});
});
Auf der Serverseite, der "alldata.php" hat den folgenden Code und die Daten im JSON-Pass zurück zu iQuery:
$sql = "SELECT title FROM mydatabase";
$result = mysqli_query($conn, $sql);
$arr = array();
while($row = mysqli_fetch_assoc($result)){
$row_array['Title'] =$row['title'];
array_push($arr,$row_array);
}
mysqli_close($conn);
echo json_encode($arr);
Es scheint, gibt mir Es besteht kein Risiko einer Injektion, da KEINE Benutzereingaben an die Datenbank übermittelt werden. Hab ich recht oder nicht? Vielen Dank für Ihre Anregungen!
Es gibt eine Abfrage, eine Auswahl. Da jedoch keine Benutzereingaben vorgenommen werden, ist es für einen böswilligen Benutzer unmöglich, tatsächlich etwas zu injizieren. –
Guter Punkt! Der Titel wurde entsprechend aktualisiert. – LearnAWK