gpt4 book ai didi

azure - Azure 函数中针对 Cosmos DB 的 SQL 注入(inject)

转载 作者:行者123 更新时间:2023-12-03 14:55:30 28 4
gpt4 key购买 nike

我已经实现了由 HttpRequest 触发的 Azure 函数。名为 name 的参数作为 HttpRequest 的一部分传递。在 Integration 部分中,我使用以下查询从 CosmosDB 检索数据(作为输入):

SELECT * FROM c.my_collection pm 
WHERE
Contains(pm.first_name,{name})

如您所见,我发送的“名称”没有对其进行清理。这里有任何 SQLInjection 问题吗?

我搜索并注意到参数化可用,但这不是我在这里可以做的任何事情。

最佳答案

当绑定(bind)发生时 ( the data from the HTTP Trigger gets sent to the Cosmos DB Input bind ),它会通过将处理清理的 SQLParameterCollection 传递。

请查看this article :

Parameterized SQL provides robust handling and escaping of user input, preventing accidental exposure of data through “SQL injection”

这将涵盖通过 name 属性注入(inject) SQL 的任何尝试。

关于azure - Azure 函数中针对 Cosmos DB 的 SQL 注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58191745/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com