gpt4 book ai didi

Firebase 版本的 SQL 注入(inject)

转载 作者:行者123 更新时间:2023-12-01 03:24:37 25 4
gpt4 key购买 nike

在强大的 SQL 背景后第一次使用 firebase。我习惯使用 addslashes() 之类的函数清理用户输入到查询中。

是否有任何标准方法可以使用 Firebase 查找来做类似的事情?

例如:

// expected a key, not a path
var userProvidedKey = "3/malicious"

// will not be a ref to what I expect
var ref = firebase.database().ref(`something/${userProvidedKey}`)

我不知道用户能够在引用文献中进一步搜索有多恶意,但也许这个问题已经解决了?或者我需要 .split('/').shift()我收到的任何输入?

注意:在我的示例中使用 JS SDK。

最佳答案

输入/输出应始终在进入数据库之前进行清理和验证。

Firebase 提供 securitydata validation checks在您的应用程序中使用。 Firebase 还在其数据库中提供规则,以确定哪些用户对数据库中的哪些数据具有写入/读取权限。

欲了解更多信息,请阅读 documentation关于 Firebase 实时数据库。

找到这个帖子 Adding Firebase data, dots and forward slashes这可能会回答有关 Firebase 特定卫生设施的一些实际问题。

关于Firebase 版本的 SQL 注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42508103/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com