任何熟悉Cassandra引擎(通過php使用phpcassa lib)的人都能熟練掌握sql注入攻擊向量是否存在一個必然結果?如果是這樣,有沒有人刺探過建立最佳實踐來挫敗他們?如果沒有,是否有人願意; )NoSQL注入? (PHP-> phpcassa-> Cassandra)
13
A
回答
10
編號phpcassa使用的Thrift層是一個rpc框架,不基於字符串解析。
10
更新 - Cassandra v0.8引入CQL,它可能帶來了注入攻擊的可能性。然而:
Prepared statements然後在Cassandra v1.1.0中引入,這有助於防止此類攻擊。
此外,看到this posting這也說明CQL的功能,使注射性,包括:
- 每個CQL查詢必須包含一個聲明
- 作爲一個經驗法則,也有不言包含 其他語句的類型,這將成爲另一個用於注入的常見向量。
相關問題
- 1. NoSQL cassandra問題
- 2. cassandra nosql autorestart服務與chkserv.d
- 3. MongoDB中的NoSQL注入防護
- 4. 如何識別cassandra/NoSQL中的值?
- 5. percona nosql vs其他nosql
- 6. NDB/DB NoSQL注入谷歌數據存儲
- 7. 使用noSQL數據庫進行SQL注入?
- 8. ExecutionEngine.execute(String,Map <String,Object>)會阻止「NoSQL注入攻擊」嗎?
- 9. Spring框架+ NoSQL
- 10. NoSQL數據庫
- 11. 是否可以使用Ruby的Cassandra NoSQL數據庫?
- 12. 從MySQL切換到Cassandra(NoSQL)的未來潛力
- 13. 我的項目的NoSQL(cassandra)數據模型
- 14. 使用Cassandra作爲「無模式NoSQL數據庫」
- 15. NoSQL/BigTable數據建模和超級列表(使用Cassandra)
- 16. NoSql的搜索索引器,特別是Cassandra
- 17. Java Pelops和Cassandra NoSQL DB:我可以批量刪除行嗎?
- 18. Cassandra NoSQL - 針對域和頁面的最佳數據結構
- 19. Cassandra/NoSQL新手:正確的建模方式?
- 20. '加入'DocumentDB集合(NoSQL)
- 21. 將Cassandra 1.2數據導入到Cassandra 2.0
- 22. Asp.net MVC + NoSQL數據庫
- 23. Cassandra Acessor帶插入語句的帶註釋接口
- 24. 批量插入Cassandra
- 25. Cassandra嵌入模式
- 26. Cassandra插入錯誤
- 27. Cassandra插入失敗
- 28. Cassandra未插入值
- 29. Cassandra併發寫入
- 30. NoSQL(BigTable ...)和TimeSeries Data
不強烈分離信封和內容(如SOAP)的RPC方法可能仍然容易受到注入式攻擊。 AFAIK,Thrift將兩者分開,所以更安全 - 而且使用phpcassa等庫而不是原始發送使事情變得更安全。這是與jbellis達成一致的迂迴方式。 – DNA 2011-05-14 15:41:51