NoSQL-NoSQL会有注入问题吗?

项目合作 项目合作 主题:1030 回复:2135

NoSQL-NoSQL会有注入问题吗?

夜无邪 发布于 2017-08-06 字数 297 浏览 1109 回复 3

我想问一下在传统的关系型数据库会有SQL注入问题,可以通过过滤函数或者查询条件与编译等方法进行预防

现在比较流行的NoSQL比如redis这样的数据库,也会遇到代码和数据交叉的地方,那么也应该会有注入漏洞吧

如果有,通常用哪些方法预防呢
没有的话,又是为什么呢

谢谢各位大侠~!

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

支持 Markdown 语法,需要帮助?

评论(3

甜柠檬 2017-10-11 3 楼

基本上没有。

sql是解释语言,外部数据进来通过“宏替换”方式插入,形成新的完整的sql一并解释。。。那么外部数据可含有sql语法元素。。。所以预编译的sql可消除注入威胁。

“宏替换”方式的处理过程在NoSQL中大多是不存在的,即使redis2.6支持Lua。

浮生未歇 2017-09-11 2 楼

SQL查询由于要拼接字符串作为查询语句,恶意用户可能会通过输入特殊的字符串,如 '1'='1'"作为用户名,程序后台如果不注意的话就可能把1=1插入到查询语句中,从而导致后面的判断失效。

NoSQL大多是Key-Value形式的查询,所以不存在拼凑查询语句的问题。

清晨说ぺ晚安 2017-09-03 1 楼

如果仅指"注入",则NoSQL是基本不存在此问题,除非你使用了String parse,String中包含用户输入内容,并被用户恶意修改更改结果

要注意的是XSS,这无论什么db都会存在的问题

应在前端输入首先进行过滤(业务逻辑前端)来避免以上问题