未充分清理输入的 Web 框架可能容易受到SQL 注入的影响。
R 进程是否以同样的方式容易受到“R 注入”的影响?也就是说,是否有人(或某些 API)可以向 R 函数(尤其是那些可以从 Web 读取的函数,例如read.csv()
, jsonlite::fromJSON()
)提供导致代码执行的输入?
我已经知道代码注入在 SQL 以外的语言中是可能的,尽管我还没有在 R 中发现任何示例。
我在 shiny中看到了一些SQL注入示例,但请注意,我只对了解可能的R注入(而不是 SQL 注入)感兴趣。
如果相关,实际用例是一个 R 函数,它通过从外部 API 读取 JSON jsonlite::fromJSON()
- 我希望确保任何 JSON 数据(有效或格式错误)都不可能导致 R 函数中的远程代码执行。该函数对 SQL 没有任何作用,因此我对 SQL 注入不那么感兴趣。