Cualquiera que esté lo suficientemente familiarizado con el motor Cassandra (a través de PHP usando phpcassa lib) para saber de forma directa si hay un corolario para el vector de ataque sql-injection? Si es así, ¿alguien ha intentado establecer las mejores prácticas para frustrarlos? Si no, a alguien le gustaría;)NoSQL Injection? (PHP-> phpcassa-> Cassandra)
No. La capa de ahorro utilizada por phpcassa es un marco rpc, no basado en el análisis de cadenas.
Una actualización - Cassandra v0.8 introdujo CQL, lo que podría haber traído consigo la posibilidad de ataques de inyección. Sin embargo:
Prepared statements se introdujeron en Cassandra v1.1.0, que ayudan a prevenir dichos ataques.
Además, consulte this posting la que se explican las características de CQL que lo hacen resistente a la inyección, incluyendo:
Los enfoques de RPC que no separan fuertemente el sobre y el contenido (como SOAP) pueden seguir siendo vulnerables a los ataques de inyección. AFAIK, Thrift separa los dos, por lo que es más seguro, y el uso de bibliotecas como phpcassa en lugar del envío en bruto hace que las cosas sean aún más seguras. Que es una forma indirecta de estar de acuerdo con jbellis. – DNA