这个链接提供了一个注入式攻击的示例,但不清楚它在什么情况下适用,也不清楚如何避免它。
在插入dynamodb之前有必要转义字符串吗?怎么做呢?
这是最接近我的问题的例子,但这是针对PhP和Mysql的
您共享的链接不是攻击,您实际上是为用户提供了通过操作过滤器表达式来指定他们可以返回哪些数据的能力。
首先,在DynamoDB中,您通常不会使用Scan,因为它会导致读取整个表,并且您正在为用户提供访问所有信息的权限。
如果你需要防止用户获取被禁止的数据,那么你应该使用细粒度访问控制。
话虽如此,您仍然应该对通过直接向DynamoDB提交参数而赋予用户的权力保持警惕。