任何熟悉Cassandra引擎(通過php使用phpcassa lib)的人都能熟練掌握sql注入攻擊向量是否存在一個必然結果?如果是這樣,有沒有人刺探過建立最佳實踐來挫敗他們?如果沒有,是否有人願意; )NoSQL注入? (PHP-> phpcassa-> Cassandra)
13
A
回答
10
編號phpcassa使用的Thrift層是一個rpc框架,不基於字符串解析。
10
更新 - Cassandra v0.8引入CQL,它可能帶來了注入攻擊的可能性。然而:
Prepared statements然後在Cassandra v1.1.0中引入,這有助於防止此類攻擊。
此外,看到this posting這也說明CQL的功能,使注射性,包括:
- 每個CQL查詢必須包含一個聲明
- 作爲一個經驗法則,也有不言包含 其他語句的類型,這將成爲另一個用於注入的常見向量。
相關問題
- 1. percona nosql vs其他nosql
- 2. 使用noSQL數據庫進行SQL注入?
- 3. NDB/DB NoSQL注入谷歌數據存儲
- 4. ExecutionEngine.execute(String,Map <String,Object>)會阻止「NoSQL注入攻擊」嗎?
- 5. Spring框架+ NoSQL
- 6. NoSQL數據庫
- 7. 是否可以使用Ruby的Cassandra NoSQL數據庫?
- 8. Cassandra/NoSQL新手:正確的建模方式?
- 9. 從MySQL切換到Cassandra(NoSQL)的未來潛力
- 10. Cassandra Acessor帶插入語句的帶註釋接口
- 11. Asp.net MVC + NoSQL數據庫
- 12. 批量插入Cassandra
- 13. Cassandra插入失敗
- 14. Cassandra未插入值
- 15. Cassandra併發寫入
- 16. Cassandra插入錯誤
- 17. Spring數據的UDT註解Cassandra
- 18. java cassandra對象映射註釋
- 19. Data-mapper和Cassandra
- 20. 嵌入式nosql開源java數據庫
- 21. 如何開始使用NoSql開發rails/django應用程序數據庫像cassandra?
- 22. NoSQL解決方案最適合存儲Apache error_log和access_log? Cassandra或MongoDB?
- 23. 是否有Cassandra NoSQL數據庫的.Net包裝器或驅動程序?
- 24. Cassandra插入/刪除問題
- 25. Cassandra - 如何插入UUID
- 26. 將Freebase導入到cassandra中
- 27. 用Cassandra插入表演
- 28. Cassandra插入性能c#
- 29. Spring Boot Data嵌入式Cassandra
- 30. Cassandra PreparedStatement vs普通插入
不強烈分離信封和內容(如SOAP)的RPC方法可能仍然容易受到注入式攻擊。 AFAIK,Thrift將兩者分開,所以更安全 - 而且使用phpcassa等庫而不是原始發送使事情變得更安全。這是與jbellis達成一致的迂迴方式。 – DNA 2011-05-14 15:41:51