2

使用 NoSQL 时是否有任何 SQL 注入等效项或我应该注意的其他漏洞?

我在 Python2.7 中使用 Google App Engine DB,并注意到 Google 没有太多关于 Datastore 安全性的文档。

任何帮助,将不胜感激!

4

1 回答 1

7

标准 SQL 注入技术依赖于 SQL 具有各种查询或修改数据的语句这一事实。数据存储没有这样的功能。GQL(数据存储的查询语言)只能用于查询,不能修改。插入、更新和删除是使用不使用文本表达式的单独方法完成的。因此,数据存储不易受到此类注入技术的攻击。在最坏的情况下,攻击者只能更改查询以选择您不想要的数据,但永远不会更改它。

于 2013-04-22T05:46:25.497 回答