那些遇到过的问题

为什么在客户端编写GraphQL查询是安全的?

tyb*_*103 13 sql-injection graphql

GraphQL最近发布,似乎鼓励在客户端编写查询.

  1. 是什么使得在客户端编写GraphQL查询安全,而不是SQL查询?
  2. GraphQL不受注射吗?
  3. 如果让客户端的查询非常有用,为什么不让SQL版本不受注入?

ahi*_*an3 14

由于在松弛频道中回复它的用户没有回答这个问题,我会发布他们的答案.

  1. GraphQL查询针对明确构建的模式进行验证,以向客户端公开数据.SQL不会针对除数据库架构结构之外的任何内容验证您的查询.
  2. 从理论上讲,您的GraphQL端点具有某种安全性,可以验证用户是否可以在查询的起始点查询数据.一旦它们位于基于图形的模式中,权限就是graphQL模式定义所固有的,并且注入不会完成任何事情.
  3. 制作一个不受注入的SQL版本将涉及GraphQL所做的一些相同的验证.允许所有请求的数据/突变的某种验证.正如聊天中所引用的那样,"注入不是SQL固有的问题".

答案归功于来自GraphQL/#slav Slack聊天的查理samwgoldman.

  • 我想补充一点,GraphQL查询变量消除了"注入"问题的可能性.相近 "?" 在SQLite中,GraphQL查询变量允许您在查询中语义地放置变量,GraphQL将在运行查询之前验证变量的提供值是否有效. (3认同)

归档时间:

查看次数:

4770 次

最近记录:

10 年,8 月 前
相关归档
GraphQL:不可为空的数组/列表 16
在Django Graphene Relay中启用基于PK的过滤,同时保留全局ID 9
NestJs GraphQL 游乐场访问 7
graphql变异如何自动刷新Apollo Client正在监视的查询? 6
如何实现graphQL子查询 5
Codeigniter表单验证安全性 3
php preg_replace 为每个捕获组分配不同的替换模式 3
GraphQL有哪些实际用例?什么时候应该选择GraphQL over REST? 2
GraphQL 架构错误 1
gprc 客户端异步响应 NodeJS 0
难疑归档
了解切片表示法 3024
如何动态合并两个JavaScript对象的属性? 2338
如何在Git中获取当前分支名称? 2321
如何在macOS或OS X上安装pip? 1676
Python中的静态方法? 1639
插入...值(SELECT ... FROM ...) 1340
如何在同一元素上组合背景图像和CSS3渐变? 1203
使用pip安装特定的软件包版本 1199
Subversion存储库中"分支","标记"和"主干"的含义是什么? 1181
使用Twitter Bootstrap 3将列居中 1109