对于 elasticsearch,需要类似于防 sql 注入那一套代码吗?
kisshere · 2020-09-21 11:42:50 +08:00 · 5232 次点击这是一个创建于 1518 天前的主题,其中的信息可能已经有所发展或是发生改变。
直接使用$_GET['query']不做任何数据处理,会不会出现 elasticsearch 数据泄露等其他安全问题
6 条回复 • 2020-09-21 21:34:02 +08:00
 |
1
somalia 2020-09-21 12:33:04 +08:00
当然需要
|
 |
2
tsingke 2020-09-21 12:45:24 +08:00
不需要吧,可能是我水平太次,想不到任何注入的例子。
|
 |
3
opengps 2020-09-21 12:58:06 +08:00
对于可执行 sql,你必须得防注入,不然好好的 select,通过注入给你带上一段 delete,对你的数据可是毁灭性的
|
 |
4
UserNameisNull 2020-09-21 13:11:49 +08:00
1. es 的 GET 的请求不会造成数据改变,不像 sql 语句 select 被注入后会变成 update delete 等改变数据的 sql 。
2. 敏感数据,重要数据,不建议放到 es 里面。 |
 |
5
libook 2020-09-21 13:30:49 +08:00
SQL 的核心用法就是拼接字符串,所以其注入脆弱性是天生的,因为其只做到了语义上的结构化并没有做到格式上的结构化,用法就是拼接 SQL 字符串,所以很容易破坏掉预期的语义结构。JSON(YAML)、XML 等格式因为本身可以很容易对象化,对对象的操作是被限制在对象提供的模式内的,所以天生具备对注入的抗性。
只要你前后端严格按照 JSON 格式来处理数据,不在序列化后进行字符串拼接,通常不会有注入风险。 剩下的就是不管用什么都要做好的安全策略,比如限制好查询的数据量避免全库导出。 |
 |
6
fox0001 2020-09-21 21:34:02 +08:00
我们的项目,都用 Solr 做搜索。每周导出搜索记录,都会对着一堆 SQL 注入语句而无奈地苦笑
|
Select Language