由于App Engine并未实际使用SQL,这是否意味着App Engine应用程序可以免受SQL注入攻击?Google App Engine应用程序是否容易受到SQL注入攻击?
7
A
回答
0
2
没有SQL ==没有SQL注入,按照定义。 :-)
但是,如果应用程序使用GQL并且天真地将字符串字面值粘贴到查询中而无需转义,那么您当然可以进行GQL注入。你可以用这种方式造成的损失比SQL的某些变体少,它可以让你终止当前的查询并在同一个字符串中开始一个新的查询,但它仍然有潜在的危险。尽管(不像某些语言的默认库...),GQLQuery provides是一个简单的内置参数绑定机制。因此,仍然没有理由将字符串文字填充到查询字符串中。
10
是的,只要您按照用户输入与GQL字符串连接的方式进行操作,它们都同样容易受到注入攻击的影响。但是,如果您按照Google的最佳实践建议,在GQL字符串中输入值时使用参数,那么使用GQL时应该没问题。因此,而不是:
query = GqlQuery("SELECT * FROM Song WHERE composer = 'Lennon, John'")
你可以使用:
query = GqlQuery("SELECT * FROM Song WHERE composer = :1", "Lennon, John")
或:
query = GqlQuery("SELECT * FROM Song WHERE composer = :composer", composer="Lennon, John")
此外,你会避免这个问题完全由使用Query class生成查询。
相关问题
- 1. SQL Server 2008表值是否容易受到SQL注入攻击?
- 2. 此登录代码是否容易受到SQL注入攻击?
- 3. 此代码是否容易受到SQL注入攻击?
- 4. Hibernate查询是否容易受到SQL注入攻击
- 5. 这是查询容易受到SQL注入攻击
- 6. 这是否容易受到SQL注入?
- 7. Nhibernate易受SQL注入攻击吗?
- 8. _frontendCSRF cookie似乎很容易受到SQL注入攻击
- 9. 容易受到SQL注入攻击的PHP代码
- 10. 这个站点容易受到SQL注入攻击吗?
- 11. 为什么MySQL更容易受到SQL注入攻击
- 12. SQL注入尝试 - 我的代码是否易受攻击?
- 13. 测试一个网站是否易受Sql注入攻击
- 14. Windows应用程序可能会受到SQL注入的攻击
- 15. 是我的SQL查询容易受到SQL注入或其他攻击
- 16. 这段代码是否容易出现sql注入攻击?
- 17. ajax调用容易受到xss攻击
- 18. 此存储过程是否容易受到SQL注入?
- 19. 以下MySql存储过程是否容易受到sql注入?
- 20. 使系统/程序容易受到攻击
- 21. 这段代码是否容易受到黑客攻击?
- 22. 此代码是否容易受到XSS攻击?
- 23. SOAP web服务是否容易受到CSRF攻击?
- 24. ASP.NET MVC是否容易受到Oracle填充攻击?
- 25. bcrypt.compare是否容易受到时间攻击
- 26. Kerberos RC4-HMAC是否容易受到Bar Mitzvah攻击?
- 27. 现代浏览器是否容易受到HTTP分裂攻击
- 28. 是否Spring - SpEL易受攻击?
- 29. 这是否容易受到SQL注入的影响
- 30. 此LINQ语句是否容易受到SQL注入的影响?
如果您可以断然声明App Engine不在任何地方使用SQL(直接通过前端或后端的某个地方),那么它不受此类攻击的影响。否则,谁知道。 – 2011-06-02 23:08:22
您是指[数据存储](https://developers.google.com/appengine/docs/java/datastore/)? – 2014-01-28 11:54:53