由于App Engine实际上并不使用SQL,这是否意味着App Engine应用程序不受SQL注入攻击的影响?
这似乎是一个明显(或不那么明显)的问题,但让我解释一下.我正在使用Google的数据库技术BigTable编写Google App Engine网站.任何App Engine程序员都会知道Google有自己的有限查询语言GQL.因此,我很想不在我的应用程序中检查SQL(或GQL)注入,因为我假设Google没有在其后端方法上使用原始字符串查询来获取数据.
此外,用于数据库技术的库(如CouchDB,MongoDB和其他对象或文档(也称为NoSQL)数据库)似乎无需检查恶意用户是否正在注入数据库操作命令.它们通常具有直接将数据库中的对象映射到您选择的语言对象的库.我知道有很多SQL库也可以这样做,但我认为在某种程度上它们组合参数来对字符串运行查询,因此即使使用这些框架,我仍然必须使用SQL注入保护.
我是短视的吗?或者只是时间问题,直到下一个伟大的数据库系统抓住,然后我会看到注入这些系统?