Mor*_*ori 5 sql-injection azure azure-functions azure-cosmosdb
我已经实现了一个由HttpRequest触发的Azure功能.调用的参数name作为HttpRequest的一部分传递.在Integration部分中,我使用以下查询从CosmosDB中检索数据(作为输入):
SELECT * FROM c.my_collection pm
WHERE
Contains(pm.first_name,{name})
如你所见,我发送没有sanitizing它的'名字' .SQLInjection这里有什么顾虑吗?
我搜索并注意到它parameterization可用,但这不是我可以在这里做任何事情.
当绑定发生时(来自 HTTP 触发器的数据被发送到 Cosmos DB 输入绑定SQLParameterCollection),它会通过将处理清理的一个传递。
请查看这篇文章:
\n\n\n\n\n参数化 SQL 提供对用户输入的稳健处理和转义,防止通过 \xe2\x80\x9cSQL 注入\xe2\x80\x9d 意外暴露数据
\n
这将涵盖通过该属性注入 SQL 的任何尝试name。
| 归档时间: |
|
| 查看次数: |
1429 次 |
| 最近记录: |