我创建了一个 AWS Lambda 函数,该函数从 RDS (Postgres( 获取数据,并通过 API 网关 (url( 将其作为 json 返回。该 url 接受 3 个 GET 参数,用于根据用户需求过滤数据。
我的问题是,(就SQL注入等攻击而言(将URL共享给想要查看我的数据的开发人员的安全性如何?这个想法是将此基础结构用作临时 API 替代方案,以收集使用反馈。
我的问题是,将URL共享给想要查看我的数据的开发人员的安全性如何(就SQL注入等攻击而言(?这个想法是将此基础结构用作临时 API 替代方案,以收集使用反馈。
如果您尝试专门缓解 SQL 注入,则只需确保代码使用参数化查询。如果要连接字符串来生成 SQL 查询,则可能容易受到SQL 注入的攻击。即使使用字符过滤和转义,您通常仍然容易受到 SQL 注入的影响,因此您应该确保使用支持开箱即用参数化查询的库。
根据你的历史,你似乎使用PHP。对于Postgres,PHP有pg_prepare可以安全地从SQL注入中获取:https://www.php.net/manual/en/function.pg-prepare.php