React Native的Realm是否可以防止注入攻擊？我已經用於SQL

Question

一個Python庫提供的查詢參數衛生，以防止注入攻擊，如果你使用的('query == $0', param)的做法，但如果您創建的字符串自己，即('query == param')。 React Native的Realm中是否一樣？

有results.filtered(`query == ${param}`)和results.filtered('query == $0', param)之間的功能差異？

Answer 1

是的，那些是不同的，filtered('query == $0', param)將工作，不管param的內容，而filtered(`query == ${param}`)不會。

取代參數語法不淨化輸入本身。對於低層次的查詢引擎的接口不是基於字符串，所以不像一個SQL庫從未有一個查詢字符串，在參與取代所有的參數，所以實際上不需要任何消毒。儘管如此，最終的結果大致相同。