Joomla 出于啥安全原因添加表前缀？

Posted 2023-02-22

【中文标题】Joomla 出于啥安全原因添加表前缀？

【英文标题】：For what security reasons does Joomla add table prefixes?Joomla 出于什么安全原因添加表前缀？

【发布时间】：2013-03-16 08:10:15

【问题描述】：

表前缀在安全方面有什么作用？

当我在 localhost 上安装 Joomla 时，它总是“出于安全原因”生成唯一的表前缀。为什么？

【问题讨论】：

我猜它正在发出一个CREATE TABLE 请求，其名称包含一个适当的，可能是“随机”的前缀。那么，SQL 注入可能会更难......

因为 joomla 是开源的，如果没有生成的前缀，每个人都可以拥有相同的表名，因此很难猜测和利用这些表。

【参考方案1】：

随机前缀使得 SQL 注入攻击很难猜测有效的表名。

这些攻击通过将 SQL 代码插入用户输入字段来进行。这些有时会诱使后端服务器执行其他 SQL 命令。如果攻击者不知道表名，那么他们就无法编写有效的 SQL 以这种方式注入。

【参考方案2】：

攻击者可以依赖应用程序之间的一致性，如果您的表名具有唯一前缀，则几乎就像使用另一种密码一样，因为攻击者无法看到您为表命名的内容。

否则，如果他们知道您的表名并找到通过已知漏洞注入 SQL 的方法，他们可以使用查询中的表名来操作和/或转储您的所有数据。