那些遇到过的问题

NoSQL注入?(PHP的> phpcassa->卡桑德拉)

cod*_*key 13 validation code-injection cassandra nosql

任何熟悉Cassandra引擎(通过PHP使用phpcassa lib)的人都知道是否有sql注入攻击向量的必然结果?如果是这样,是否有人试图建立阻止他们的最佳做法?如果没有,有人会喜欢; )

jbe*_*lis 11

不是.phpcassa使用的Thrift层是一个rpc框架,不是基于字符串解析.

  • 不强烈分离信封和内容(例如SOAP)的RPC方法可能仍然容易受到注入式攻击.AFAIK,Thrift将两者分开,因此更安全 - 使用诸如phpcassa之类的库而不是原始发送使得事情更安全.这是一种同意jbellis的迂回方式. (3认同)

DNA*_*DNA 11

更新 - Cassandra v0.8引入了CQL,这可能带来了注入攻击的可能性.然而:

然后在Cassandra v1.1.0中引入了准备好的声明,这有助于防止此类攻击.

此外,请参阅此帖子,其中介绍了使其具有抗注射性的CQL功能,包括:

  • 每个CQL查询必须只包含一个语句
  • 根据经验,也没有包含其他语句的语句类型,这将是注入的另一个常见向量.

归档时间:

查看次数:

4205 次

最近记录:

10 年,5 月 前
相关归档
ASP.NET的电子邮件地址验证 65
电话号码验证Android 51
添加jQuery验证方法时this.optional(element)做了什么? 35
为什么我会收到"Unknown validator:'MessageValidator'"? 27
Yup.when: "`NaN`(从值 `NaN` 转换)” 16
电子邮件正则表达 10
javascript如何在不使用警报的情况下创建验证错误消息 8
NoMethodError(未定义方法“验证”为 true:TrueClass) 3
Spark提交---packages vs --jars 3
Apache Cassandra如何与Infinispan混合? 2
难疑归档
检查JavaScript对象中是否存在密钥? 2750
我遇到了合并冲突.我怎样才能中止合并? 2391
**(双星/星号)和*(星号/星号)对参数有什么作用? 2149
如何在TextView中水平和垂直居中文本? 1932
'real','user'和'sys'在time(1)的输出中意味着什么? 1622
如何解决"断点当前不会被命中.此文档没有加载任何符号." 警告? 1456
每位程序员应阅读的最具影响力的单一书籍是什么? 1439
Node.js module.exports的目的是什么,你如何使用它? 1397
如何使用jQuery获取元素的ID? 1320
删除目录的符号链接 1063