这样做很常见。正如您所注意到的，保持代码简单有一个显着的好处。

如果您确实存在 SQL 注入漏洞，攻击者可以使用 INFORMATION_SCHEMA 找出您的数据库结构。所以隐藏你的数据库结构对你没有多大帮助。

该领域的另一个问题是批量分配漏洞。也许允许用户更新他们的用户详细信息 - 姓名、电子邮件、密码等。但他们不应该能够更新字段“is_admin”。使用自动将表单字段路由到 SQL 语句的代码，有时会出现这样的漏洞。

向攻击者公开数据库字段名称会破坏安全性的一种常见情况是 SQL 注入。在这种情况下，攻击者可能无法执行show tables，select * from INFORMATION_SCHEMA.TABLES之类的，让整个数据库结构。他的读取权限可能非常有限（例如盲 SQL 注入）。在这种情况下弄清楚数据库结构可能需要一些时间和知识。

如果您向攻击者提供有关数据库表和字段的提示，他可能会使用您提供的名称尝试几次注入。攻击会更快，对攻击者的要求更少，并且更难在日志中检测到。

我认为公开数据库字段名称不是一个好习惯，但对字段本身来说风险并不高，因为为了访问这些字段，必须破解您的数据库凭据，一旦凭据被盗，就不会了不管他们是否知道这些领域，他们都会自己探索他们想要的东西。

话虽如此，暴露的数据库字段可能被用于某种其他类型的安全攻击。（在信息收集步骤）

结论是：如果不需要，切勿公开字段名称。