Con*_*nan 4 sql clojure korma sqlkorma
我在RESTful API后面使用Korma,我发现我将用户提交的值传递给我的(insert)调用.在Clojure中有一种很好的方法可以防止SQL注入攻击吗?Korma以非常简单的方式生成SQL,所以如果有人告诉我他们的名字是小Bobby Tables,我担心它会受到伤害.
我的理解是Korma总是生成参数化的SQL,至少对于select和insert(我没有亲自测试过其他的)所以Little Baby Tables应该没问题.
仔细检查如何从数据库返回这些值.消除数据库输入无法保护CSRF/XSS等.当使用Clojure和DB < - > Web交互时,我使用的规则是所有系统组件必须以对下一个服务器安全的方式对数据进行编码.在环中间件中预先检查链和逻辑约束(如最大搜索大小).
安全是猫/老鼠的军备竞赛,没有任何替代品来测试这些东西.继续将Little Baby Tables放入每个查询中,尝试您可以想到的编码和多种编码的所有组合.展示漏洞利用有时可以成为帮助同事学习发现这些东西的一种相当有效的方式(只是不要对它这个混蛋)
| 归档时间: |
|
| 查看次数: |
617 次 |
| 最近记录: |