gpt4 book ai didi

rest - 如何防止 SQL 注入(inject)并提高 REST API 的安全性?

转载 作者:行者123 更新时间:2023-12-03 10:06:31 26 4
gpt4 key购买 nike

我是 REST API 的新手,正在开发一个将用于 iOS/Android/Web 应用程序的 API,但我不熟悉这些 API 在发布后面临的威胁。
我到处都看到这些相同的提示:

  • 使用 oAuth 2 允许交易,
  • 仅接收和发送加密的 JSON Web token ,
  • 使用 SSL/TTL。

  • 我认为使用 SSL/TLS 和 JWT 应该足以保证发送/接收数据的安全性,但即便如此,如果有人窃取凭据,我还是担心 SQL 注入(inject)的可能性。
    我应该检查对 SQL 注入(inject)字符串 ( such as this one) 的请求吗?
    如果我要支持用户登录,使用 oAuth 而不是 JWT 是否更有意义?

    最佳答案

    sql-i

  • 使用准备好的语句会给你带来很多好处(further reading)
  • 考虑使用 ORM 层与您的数据库接口(interface)(例如:gorm)

  • 安全原则
  • 始终在对其执行任何操作之前验证用户输入
  • 对于每个操作,如果您知道通用选项集,请选择允许列表方法与拒绝列表方法(即,如果字符串属于我的已知列表,我将只允许它通过)

  • 授权
  • jwt 只是一种 token 格式(类似于您的身份证),您可以将 oauth 用于底层 authz(在允许您访问某些资源之前检查您的身份证)——阅读更多 here
  • 不记名 token (如 jwt)应始终通过 TLS/SSL 发送,以防止入侵者访问明文 jwt (rfc7523)
  • 随着产品的成熟,您可能希望转移到开始分配存储在手机上的 session token 的模型,但这通常伴随着处理撤销的复杂性(例如:何时/如何轮换 session token ?)
  • 关于rest - 如何防止 SQL 注入(inject)并提高 REST API 的安全性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/65532464/

    26 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com