1. 首頁
  2. 問答
  3. NoSQL注入? (PHP-> phpcassa-> Cassandra)

NoSQL注入? (PHP-> phpcassa-> Cassandra)

2011-05-13 75 views
13

任何熟悉Cassandra引擎(通過php使用phpcassa lib)的人都能熟練掌握sql注入攻擊向量是否存在一個必然結果?如果是這樣,有沒有人刺探過建立最佳實踐來挫敗他們?如果沒有,是否有人願意; )NoSQL注入? (PHP-> phpcassa-> Cassandra)

來源

2011-05-13 codemonkey

回答

10

編號phpcassa使用的Thrift層是一個rpc框架,不基於字符串解析。

來源

2011-05-14 15:05:40 jbellis

+3

不強烈分離信封和內容(如SOAP)的RPC方法可能仍然容易受到注入式攻擊。 AFAIK,Thrift將兩者分開,所以更安全 - 而且使用phpcassa等庫而不是原始發送使事情變得更安全。這是與jbellis達成一致的迂迴方式。 – DNA 2011-05-14 15:41:51

10

更新 - Cassandra v0.8引入CQL,它可能帶來了注入攻擊的可能性。然而:

Prepared statements然後在Cassandra v1.1.0中引入,這有助於防止此類攻擊。

此外,看到this posting這也說明CQL的功能,使注射性,包括:

  • 每個CQL查詢必須包含一個聲明
  • 作爲一個經驗法則,也有不言包含 其他語句的類型,這將成爲另一個用於注入的常見向量。

來源

2011-06-29 18:41:00 DNA

相關問題

 相關問題