हां, आपको इससे बचाव करने की जरूरत है।
फ़ायरफ़ॉक्स के डेवलपर कंसोल का उपयोग करके मैं आपको दिखाता हूँ कि ऐसा क्यों है:
<ब्लॉकक्वॉट>
यदि आप इस डेटा को साफ़ नहीं करते हैं, तो आपका डेटाबेस नष्ट हो जाएगा। (यह पूरी तरह से मान्य SQL कथन नहीं हो सकता है, लेकिन मुझे आशा है कि मुझे अपनी बात समझ में आ गई है।)
सिर्फ इसलिए कि आपने अपने ड्रॉपडाउन में उपलब्ध विकल्पों को सीमित कर दिया है इसका मतलब यह नहीं है आपने वह डेटा सीमित कर दिया है जिसे मैं आपका सर्वर भेज सकता हूँ।
यदि आपने अपने पृष्ठ पर व्यवहार का उपयोग करके इसे और प्रतिबंधित करने का प्रयास किया है, तो मेरे विकल्पों में उस व्यवहार को अक्षम करना, या बस अपने सर्वर पर एक कस्टम HTTP अनुरोध लिखना शामिल है जो इस फ़ॉर्म सबमिशन का अनुकरण करता है। कर्ल नाम का एक टूल है ठीक उसी के लिए उपयोग किया जाता है, और मैं सोचता हूं इस SQL इंजेक्शन को सबमिट करने का कमांड वैसे भी कुछ इस तरह दिखाई देगा:
curl --data "size=%27%29%3B%20DROP%20TABLE%20*%3B%20--" http://www.example.com/profile/save
(यह पूरी तरह से मान्य कर्ल कमांड नहीं हो सकता है, लेकिन फिर से, मुझे आशा है कि मुझे अपनी बात समझ में आ गई है।)
तो, मैं दोहराता हूँ:
उपयोगकर्ता इनपुट पर कभी विश्वास न करें। हमेशा अपनी रक्षा करें।
यह न मानें कि कोई भी उपयोगकर्ता इनपुट हमेशा सुरक्षित रहता है। यह संभावित रूप से असुरक्षित है, भले ही यह किसी फ़ॉर्म के अलावा किसी अन्य माध्यम से आता हो। इनमें से कोई भी इतना भरोसेमंद नहीं है कि SQL इंजेक्शन से अपनी सुरक्षा करना छोड़ दे।
