Jug*_*kar 13 sql-injection named-query amazon-web-services amazon-athena
我们想要使用aws的javascript sdk在Athena中执行参数化查询.
似乎Athena的命名查询可能是这样做的,但是文档似乎非常神秘,无法理解如何去做.
如果有人可以帮我们做以下事情,那就太好了
SELECT c FROM Country c WHERE c.name = :name name参数的值不幸的是,命名查询是 Athena 的一个奇怪的功能,它对任何事情都没有真正的用处。
Athena 不像许多 RDBMS 那样支持准备好的语句。有一些 SQL 库支持在客户端进行参数扩展——Sequel for Ruby 是我有经验的,不幸的是我不能给你关于 JavaScript 的建议。
然而,使用 Athena 的 SQL 方言进行转义并不是很复杂。在标识符中,双引号需要转义为两个双引号,而在文字字符串中,单引号需要转义为单引号。其他数据类型只需要干净,例如只有整数的数字。
另外,请记住,在 Athena 中,SQL 注入的危险与在 RDBMS 中不同:Athena 无法删除您的数据。如果您正确设置了 IAM 权限,用户甚至无法删除表,即使您出于某种原因使用允许删除表的用户运行查询,表只是元数据,可以轻松地再次设置。
| 归档时间: |
|
| 查看次数: |
1739 次 |
| 最近记录: |