Cualquiera que esté lo suficientemente familiarizado con el motor Cassandra (a través de PHP usando phpcassa lib) para saber de forma directa si hay un corolario para el vector de ataque sql-injection? Si es así, ¿alguien ha intentado establecer las mejores prácticas para frustrarlos? Si no, a alguien le gustaría;)NoSQL Injection? (PHP-> phpcassa-> Cassandra)
13
A
Respuesta
10
No. La capa de ahorro utilizada por phpcassa es un marco rpc, no basado en el análisis de cadenas.
10
Una actualización - Cassandra v0.8 introdujo CQL, lo que podría haber traído consigo la posibilidad de ataques de inyección. Sin embargo:
Prepared statements se introdujeron en Cassandra v1.1.0, que ayudan a prevenir dichos ataques.
Además, consulte this posting la que se explican las características de CQL que lo hacen resistente a la inyección, incluyendo:
- cada consulta CQL debe contener exactamente un comunicado
- como regla general, también hay ninguna declaración tipos que contienen otras declaraciones, que sería otro vector común para una inyección .
Cuestiones relacionadas
- 1. ¿Por qué nosql con cassandra en lugar de mysql?
- 2. NoSQL DataBases
- 3. Redis, CouchDB o Cassandra?
- 4. Fluido Cassandra vs Aquiles?
- 5. Dependency Injection
- 6. ¿Qué solución NoSQL es la mejor para almacenar Apache error_log y access_log? ¿Cassandra o MongoDB?
- 7. ¿Qué hace que Cassandra (y NoSQL en general) sea una mejor solución para un RDBMS?
- 8. Soluciones NoSQL compatibles con PHP
- 9. ¿Cómo comenzar con NOSQL usando los lenguajes de programación .net?
- 10. Hector vs Astyanax para Cassandra
- 11. Cassandra bajo rendimiento?
- 12. JAXB constructor injection
- 13. Custom ResourceProviderFactory Dependency Injection
- 14. Dependency Injection and Factories
- 15. SQL Injection y Codeigniter
- 16. Cuándo utilizar Dependency Injection
- 17. SQLAlchemy + SQL Injection
- 18. MSTest TestMethod Dependency Injection
- 19. Android and Dependency Injection
- 20. Dependency Injection & using interfaces?
- 21. ASP.NET MVC3 + ActionFilterAttribute + Injection?
- 22. Webforms and Dependency Injection
- 23. MVP dependency injection
- 24. Lazy Dependency Injection
- 25. MEF Constructor Injection
- 26. Monte NoSQL DB como sistema de archivos
- 27. ¿Cómo realiza Apache Cassandra las operaciones agregadas?
- 28. ¿Qué es NoSql? ¿Cuál es el Propósito de NoSql? ¿Dónde puedo obtener material suficiente sobre NoSql?
- 29. Cassandra UnavailableException()
- 30. Datos de series de tiempo de Cassandra
Los enfoques de RPC que no separan fuertemente el sobre y el contenido (como SOAP) pueden seguir siendo vulnerables a los ataques de inyección. AFAIK, Thrift separa los dos, por lo que es más seguro, y el uso de bibliotecas como phpcassa en lugar del envío en bruto hace que las cosas sean aún más seguras. Que es una forma indirecta de estar de acuerdo con jbellis. – DNA