ORM框架能自动防止SQL注入攻击吗
答案:2 悬赏:30
解决时间 2021-10-19 18:49
- 提问者网友:轮囘Li巡影
- 2021-10-19 00:45
ORM框架能自动防止SQL注入攻击吗
最佳答案
- 二级知识专家网友:逃夭
- 2019-11-22 21:41
ORM,接口封装在 ORM 机制内部,不对外暴露,理论上防止了 SQL 注入。
但是,外界访问你的网站不可能直接使用你的对象接口,也就是说你还要提供一个从 on-wire protocol 到你的对象接口的转换。
这个转换的 decode/encode(或者叫做 serialize/deserilize 或者 parsing)也同样存在被 malformat 数据攻击的问题。
你只不过把一个叫做「SQL 注入」的特定攻击变成了你自定义接口格式的攻击而已。
所以,针对 on-wire 数据,避免攻击的方法是尽量减少格式的复杂度和功能(从这个角度说,你的自定义格式应该比 SQL 的复杂度和功能要低,这是好的),而且尽量用形式化方法来定义和解析格式(比如说,用真正的 BNF 和 parsing 来解析 text-plain 数据就比用 blindly-replace 或者 regexp 解析受到攻击的威胁低)。在有些情况下,使用 pre-compiled SQL 来接受参数就更好,因为这时的参数已经无法修改 AST。
所以,这是一个要综合考虑的问题。比如说,你的 ORM 可能很重量级,而降低威胁的能力可能还不如就简单的采用 pre-compiled SQL。
所以不能
但是,外界访问你的网站不可能直接使用你的对象接口,也就是说你还要提供一个从 on-wire protocol 到你的对象接口的转换。
这个转换的 decode/encode(或者叫做 serialize/deserilize 或者 parsing)也同样存在被 malformat 数据攻击的问题。
你只不过把一个叫做「SQL 注入」的特定攻击变成了你自定义接口格式的攻击而已。
所以,针对 on-wire 数据,避免攻击的方法是尽量减少格式的复杂度和功能(从这个角度说,你的自定义格式应该比 SQL 的复杂度和功能要低,这是好的),而且尽量用形式化方法来定义和解析格式(比如说,用真正的 BNF 和 parsing 来解析 text-plain 数据就比用 blindly-replace 或者 regexp 解析受到攻击的威胁低)。在有些情况下,使用 pre-compiled SQL 来接受参数就更好,因为这时的参数已经无法修改 AST。
所以,这是一个要综合考虑的问题。比如说,你的 ORM 可能很重量级,而降低威胁的能力可能还不如就简单的采用 pre-compiled SQL。
所以不能
全部回答
- 1楼网友:山河有幸埋战骨
- 2018-12-22 17:23
可以。orm是持久化框架。
我要举报
如以上问答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯